Aktueller Datenschutzbericht: Risiko XXL am Horizont
Veröffentlicht am:Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 15.03.2023
Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt. Der Bericht gibt einen Überblick über die vielfältigen Themen des Datenschutzes und der Informationsfreiheit, die von Hansen und ihren Mitarbeitenden im Unabhängigen Landeszentrum für Datenschutz (ULD) im vergangenen Jahr bearbeitet wurden. Zum täglichen Geschäft gehören leider auch zahlreiche Datenpannen, die vermieden hätten werden müssen – und dies selbst im sensiblen Gesundheitsbereich.
Die Themen des ULD reichen von Anonymisierung, Beschäftigtendatenschutz, Corona … bis hin zu Zertifizierung. Ganz oben auf der Hitliste der Beschwerden: Videoüberwachung mit 188 Beschwerdefällen und 61 Beratungsanfragen im Jahr 2022. Im Fall einer Fitnessstudio-Kette, in dem die Rechtswidrigkeit der Videoüberwachung in Umkleiden, Aufenthaltsbereichen und auf Trainingsflächen im Jahr 2019 vom Verwaltungsgericht bestätigt wurde (VG Schleswig, Urteil vom 19.11.2019 – 8 A 835/17), hatte der Verantwortliche Rechtsmittel eingelegt. Im Jahr 2022 lehnte das Oberverwaltungsgericht die Zulassung der Berufung ab (OVG Schleswig, Beschluss vom 13.07.2022 – 4 LA 11/20). Hansen begrüßt, dass hier nun rechtlich und faktisch Klarheit geschaffen wurde. Mittlerweile sind die beanstandeten Kameras abgebaut.
- Videoüberwachung: Textziffern 5.14.1, 5.14.2, 5.14.3
Seit der Geltung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 erfasst das ULD die Zahl der Beschwerden, und in den Anfangsjahren waren sie stets gestiegen – doch im Jahr 2022 nicht. Mit 1.334 schriftlichen Beschwerden wurde die Vorjahreszahl (1.464 Beschwerden) unterschritten. Hansen hält dies immer noch für eine hohe Zahl, deutet dies jedoch als vorsichtig positives Zeichen: „Die allermeisten Stellen, die personenbezogene Daten verarbeiten, kennen mittlerweile ihre Datenschutzpflichten. Viele haben außerdem kundige Datenschutzbeauftragte in der Behörde oder im Unternehmen, die vor Ort prüfen und auch bei Beschwerden intern aktiv werden. Dort werden viele Datenschutzprobleme gleich gelöst, ohne dass wir als Aufsichtsbehörde eingreifen müssen.“ Der Rückgang hänge ebenfalls damit zusammen, dass im ULD weniger Beschwerden zu Fällen mit Corona-Bezug als in den Jahren 2020 und 2021 eintrafen.
- Zahlen und Fakten: Textziffer 1.2
Dennoch mussten auch 2022 noch viele Corona-Datenschutzfälle bearbeitet werden, z. B. zur Datenverarbeitung in Testzentren, zu Gesundheitsdaten im Tauchsport, zur Vorabübermittlung von Impf- und Genesenennachweisen bei der Buchung einer Ferienwohnung, zur Einsichtnahme in Impfnachweise im Kino oder zur Übermittlung des Impfstatus von Beschäftigten an das Gesundheitsamt.
- Corona-Fälle: Textziffern 4.1.4, 5.1, 5.3, 5.4, 5.5, 5.7
Auch die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) ist gesunken, doch hier kann Hansen bisher keine Trendumkehr erkennen: „Im Jahr 2021 hatten wir Massen-Meldungen angesichts mehrerer Angriffswellen über das Internet auf Server von Firmen und Behörden, bei denen personenbezogene Daten betroffen waren – das erklärt den damaligen Spitzenwert von 649 Meldungen. Doch mit 485 Meldungen im Jahr 2022 sind die Zahlen der Jahre 2018 bis 2020 deutlich übertroffen worden. In der Praxis lässt bei einigen Stellen die Meldedisziplin von Datenpannen zu wünschen übrig, wie wir manches Mal im Nachhinein durch Beschwerden oder Hinweise herausfinden.“
- Datenpannen & Co: Textziffern 4.4.1, 4.4.2, 4.6.1, 4.6.2, 4.6.3, 4.6.4, 4.6.5, 4.6.6, 5.13.1, 5.13.2, 5.13.3, 6.3.2
Hansen mahnt, dass es beim Umgang mit sensiblen Daten in besonderem Maße nötig sei, auf ihren Schutz zu achten: „Es ist mehr als ärgerlich, wenn durch einen Wasserrohrbruch 600 Patientenakten auf Papier unlesbar werden. Problematisch sind auch die Fälle mit gestohlenen oder verlorenen Datenträgern, auf denen die Daten nicht verschlüsselt waren – dabei ist Verschlüsselung mittlerweile eine Standardmaßnahme. Fälle von offenen Datenmüllcontainern kommen ebenfalls häufiger vor – dieses Mal auf dem Flur der Ambulanz der Psychiatrie mit Daten von Patientinnen und Patienten sowie Beschäftigten.“ Ein Fall für die Staatsanwaltschaft waren die per WhatsApp geteilten Fotos von lebenden und verstorbenen Patientinnen und Patienten, die ein Mitarbeiter beim Krankenhaustransport aufgenommen hatte.
Ein Schwerpunktthema im Jahr 2022 war die Informationsfreiheit: Hansen ist nicht nur Landesbeauftragte für Datenschutz, sondern auch Landesbeauftragte für Informationszugang und hatte im Berichtsjahr den Vorsitz der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder übernommen, der jährlich wechselt. Hansen wirbt für „Informationsfreiheit by Design“, nämlich die vorausschauende und praxistaugliche Umsetzung des Rechts auf Informationszugang sowohl für die Antragstellenden als auch für diejenigen, die die Informationen bereitstellen müssen. Dieses Thema stand auch im Fokus der Sommerakademie 2022 des ULD. Hansen betont: „Die Verwaltung muss sich modernisieren – und dabei nicht nur den Datenschutz mitdenken, sondern auch das Recht auf Informationszugang. Ziel sind Transparenz und eine bessere Nachvollziehbarkeit des Verwaltungshandelns für die Bürgerinnen und Bürger. Dies muss zum Selbstverständnis der Verwaltung werden.“
- Informationsfreiheit: Textziffern 1.1, 1.3, 1.4, 12.1, 12.2, 12.3, 12.4, 13.1
Wie wichtig Vorausschau bei der Informationsfreiheit ist, zeigen die weiterhin zahlreichen Beschwerden von Bürgerinnen und Bürgern, dass ihre Anträge nicht ordnungsgemäß bearbeitet worden seien. Die „Top-5-Liste der Probleme“ des Informationszugangs in Schleswig-Holstein hat sich in den vergangenen Jahren kaum verändert.
- Textziffer 12.3
Zu den Aufgaben des ULD gehört die Beratung der Politik. Der politische Fahrplan lässt sich zu einem gewissen Grad an den Koalitionsverträgen ablesen. Auf Bundesebene steht demnach eine Stärkung der digitalen Bürgerrechte und der IT-Sicherheit an. Auch soll es einen neuen Anlauf zu Regelungen zum Beschäftigtendatenschutz geben. Hansen kommentiert dies: „Zusammen mit unseren Kolleginnen und Kollegen in der Datenschutzkonferenz unterstützen wir die Politik gern dabei, ihre Versprechungen zu digitalen Bürgerrechten umzusetzen und Rechtssicherheit im Beschäftigtendatenschutz zu erreichen. Auch im Bereich der wissenschaftlichen Forschung sind länderübergreifende Lösungen nötig, die die nötigen Garantien zur Einhaltung der Datenschutzanforderungen vorsehen.“ Das gilt ebenso für die schleswig-holsteinischen Lösungsansätze und Gesetzgebungsinitiativen, zu denen das ULD gern Stellung nimmt, um frühzeitig die Datenschutzperspektive einzubringen.
- Beschäftigtendatenschutz: Textziffern 2.2, 8.2
- Anonymisierung: Textziffer 8.5
- Forschung: Textziffern 2.4, 4.5.1
Für die Zukunft sieht Hansen allerdings noch viel Arbeit auf das ULD und all diejenigen zukommen, die sich mit Grundrechtsschutz beschäftigen: So wirft die Europäische Datenstrategie, in der Rechtsakte künftig zu Datenweitergaben verpflichten werden, zentrale Fragen zur fairen und rechtsstaatlichen Umsetzung auf. Auch die Probleme in der Beherrschbarkeit der Risiken, die aus der massiv zunehmenden Durchdringung unserer Lebensbereiche mit künstlicher Intelligenz (KI) entstehen, werden sich künftig verstärkt stellen. Vorboten sind KI-Systeme wie ChatGPT, die plötzlich zur Internet-Suche oder zum Schreiben von Texten zu allen möglichen Zwecken Verwendung finden: eine gute Sprachqualität, doch „ausgedachte“ Behauptungen werden wie echte Fakten präsentiert, Betroffenenrechte laufen leer, überzeugende Antworten auf die Fragen des Datenschutzes fehlen. Auf einmal merkt man: Die KI-Revolution hat längst begonnen. Angesichts dieser Trends äußert sich Hansen sorgenvoll: „Mit der Geschwindigkeit der Entwicklungen und den erheblichen potenziellen Auswirkungen auf Einzelne, auf die Gesellschaft und auf die Demokratie dürfen wir nicht abwarten und in Kauf nehmen, dass aus dem ‚Risiko XXL‘ ein ‚Schaden XXL‘ wird. Stattdessen gilt es, aus den bisherigen Erfahrungen besser als zuvor zu lernen, Risiken zu erkennen und vor allem rechtzeitig gegenzusteuern.“
- Europäische Datenstrategie: Textziffer 2.3
- Risiken und Trends: Textziffern 2.5, 2.6
Der Tätigkeitsbericht des ULD ist abrufbar unter:
https://www.datenschutzzentrum.de/tb/tb41/
Bei Nachfragen wenden Sie sich bitte an:
Die Landesbeauftragte für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223
E-Mail: mail@datenschutzzentrum.de