Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2022

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg vom 17.04.2023

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, der Präsidentin des Landtages Brandenburg, Prof. Dr. Ulrike Liedtke, ihren Tätigkeitsbericht zum Datenschutz für das Jahr 2022.

Seit mehreren Jahren beschäftigt sich die Landesbeauftragte inzwischen mit der Vereinbarkeit des Betriebs von Facebook-Fanpages durch öffentliche Stellen mit dem Datenschutzrecht (A I 1, Seite 14). Die erste Einholung von Stellungnahmen der obersten Landesbehörden sollte diesen Gelegenheit geben, die Rechtmäßigkeit ihrer Fanpages selbst zu prüfen. Im Ergebnis hieß es aber lediglich, der Staat müsse auf diesem Kommunikationskanal präsent sein, um die Bürgerinnen und Bürger zu erreichen. Die Datenschutzkonferenz befasste sich ausführlich mit dem Thema. Sie veröffentlichte im vergangenen Jahr ein Kurzgutachten, das die Rechtmäßigkeit des Betriebs von Facebook-Fanpages anzweifelte. Daraufhin forderten wir die Landesregierung auf, diesen Nachweis der Rechtmäßigkeit zu erbringen. Sie teilte aber lediglich mit, eine Statistik-Funktion sei deaktiviert worden. Damit sei die Landesregierung nicht mehr verantwortlich für die Datenverarbeitung und alle Anforderungen würden erfüllt. Das sahen sowohl die Landesbeauftragte als auch die Datenschutzkonferenz anders. Weiterhin übermitteln Fanpages nämlich personenbezogene Daten an Facebook bzw. dessen Mutterkonzern Meta, ohne dass dies für deren Betreiberinnen und Betreiber erforderlich wäre. Die Landesbeauftragte prüft nun in enger Abstimmung mit anderen Aufsichtsbehörden, eine Untersagungsverfügung zu erlassen. Gegenwärtig wird die Anhörung vorbereitet. Dagmar Hartge:

 
Die Landesregierung wird einen datenschutzkonformen Betrieb ihrer Facebook-Fanpages wahrscheinlich weiterhin nicht nachweisen können. Deshalb ist es mir ein Rätsel, weshalb sie weiterhin ohne Not personenbezogene Daten an Facebook übermittelt. Öffentliche Stellen – und das betrifft nicht nur die Landesregierung – sollten vielmehr ihrer Vorbildfunktion gerecht werden und Datenschutzrisiken für interessierte Bürgerinnen und Bürger vermeiden. Öffentlichkeitsarbeit gelingt auch ohne Facebook.

Cookies sind kleine Textdateien, die auf den Geräten der Nutzerinnen und Nutzer abgelegt und von dort ausgelesen werden. Die von ihnen übermittelten Informationen lassen sich in der Regel natürlichen Personen zuordnen und ermöglichen beispielsweise die Auswertung ihres individuellen Verhaltens im Internet. Die sogenannten Cookie-Banner werden verwendet, um dazu eine Einwilligung einzuholen. Für den Einsatz von Cookies und Tracking im Internet ist ein Cookie-Banner beispielsweise dann nicht ausreichend, wenn man die Nachverfolgung einerseits mit nur einem Click akzeptieren, aber nur mit zusätzlichen Interaktionen ablehnen kann (A I 2, Seite 18, 23). Im zurückliegenden Jahr beschwerten sich eine Vielzahl von Nutzerinnen und Nutzern über die entsprechende Ausgestaltung des Cookie-Banners, unzureichende Auswahlmöglichkeiten zum Festlegen der Präferenzen oder die mangelnde Transparenz der Datenverarbeitung. Da auch der Landesbeauftragten die datenschutzrechtliche Komplexität des Themas und die in den letzten Jahren herrschende Rechtsunsicherheit bewusst war, verfolgte sie zunächst das Ziel, die jeweils Verantwortlichen zu beraten und mögliche Rechtsverstöße durch Hinweise und Empfehlungen zu beenden. Dies gelang in den meisten Fällen auch. Für die Zukunft schließt die Landesbeauftragte aber nicht aus, die Einhaltung der gesetzlichen Vorschriften mit Anordnungen, Untersagungen oder Geldbußen durchzusetzen.

Ungeachtet eines jahrelangen, umfangreichen Dialogs der Datenschutzaufsichtsbehörden mit Microsoft bleibt die Nutzung des Online-Dienstes Microsoft 365 für Behörden, Unternehmen und Vereine in der Regel unzulässig (A V 1, Seite 82). Auch Nachbesserungen des Konzerns konnten den Hauptkritikpunkt nicht ausräumen: Microsoft verarbeitet personenbezogene Daten aus der Auftragsverarbeitung für eigene Zwecke, ohne dies hinreichend transparent und nachvollziehbar darzustellen. Sein im Verlauf der Gespräche überarbeiteter Datenschutznachtrag schränkt diese Verarbeitung zwar begrifflich ein, legt aber weiterhin nicht offen, für welche „Geschäftstätigkeiten“ welche personenbezogenen Daten verwendet und wie lange sie verarbeitet werden. Eine verantwortliche Stelle, die Microsoft 365 einsetzen will, kann auf dieser Grundlage die erforderliche Interessenabwägung nicht vornehmen. Öffentliche Stellen, beispielsweise Schulen, stehen zusätzlich vor dem Problem, dass deren Rechtsgrundlagen für die Verarbeitung personenbezogener Daten typischerweise die Weitergabe der Daten an ein Unternehmen, das sie dort für eigene „Geschäftstätigkeiten“ verarbeitet, nicht legitimiert.

Darüber, dass die Beschwerden über Videokameras in jedem Berichtszeitraum zunehmen, haben wir schon mehrfach berichtet. In der Kritik stehen kleinere Fälle aus der Nachbarschaft ebenso wie Videoüberwachungen größerer Betriebe, in denen gleich eine Vielzahl von Kameras zum Einsatz kommt (zur Statistik siehe A VI 3, Seite 105). Nicht immer ist der Betrieb der überprüften Kameras unzulässig; in einigen Fällen genügt eine andere Ausrichtung oder die Abschaltung einzelner Geräte.

Eindeutig ist die Rechtslage aber, wenn es um die Videoüberwachung in einer Saunalandschaft geht (A II 3, Seite 33). Zumindest im Innern der Saunaräume stellt der Kameraeinsatz einen gravierenden Eingriff in die Rechte der in der Regel leicht- oder unbekleideten Gäste dar und ist unzulässig. Wir dachten, das hätte sich mittlerweile herumgesprochen, mussten uns aber auch im Berichtszeitraum wieder mit einem solchen Fall befassen. Zwei Kameras dienten zur Live-Überwachung von bis zu fünf täglichen Show-Aufgüssen mit Licht- und Soundeffekten mit bis zu 200 Besucherinnen und Besuchern. Der kooperative Saunabetreiber hat diese Kameras unmittelbar nach unserem Herantreten an das Unternehmen deaktiviert.

Umfangreich beschäftigt hat uns ein Fall der Videoüberwachung in Gemeinschaftsunterkünften für Geflüchtete durch einen kommunalen Betreiber (A IV 7, Seite 72). Wir stellten fest, dass dort über 120 Videokameras zum Einsatz kommen. Sie erfassten praktisch alle öffentlich zugänglichen Bereiche der Unterkunft. Zudem waren Kameras auf Türen der Wohnungen der Geflüchteten und auf Zugangstüren zu den sanitären Anlagen gerichtet. Der Sicherheitsdienst konnte die Bilder in Echtzeit beobachten, zudem speichern alle Videokameras dauerhaft ihre Aufnahmen. Ziel des Verantwortlichen war es, bei Eskalationen im Haus schneller reagieren zu können. Es komme häufig zu teils auch gewalttätigen Auseinandersetzungen. Nur so sei der Schutz von Beschäftigten sowie Bewohnerinnen und Bewohnern ausreichend zu gewährleisten. Deren Dauerüberwachung ließ sich damit jedoch nicht rechtfertigen. Viele Kameras waren datenschutzrechtlich unzulässig, beispielsweise war die Videoüberwachung von Kinderspielplätzen grundsätzlich nicht erlaubt. Auch die Überwachung der Zugangstüren zu den sanitären Anlagen war rechtswidrig. Wir wiesen den Verantwortlichen auf Maßnahmen hin, die einen datenschutzrechtlich zulässigen Betrieb der Videoüberwachung ermöglichen. Dazu gehören die Veränderung zahlreicher Kameraerfassungsbereiche, die Einschränkung der Aufzeichnungsdauer, das Aussparen von besonders sensiblen Bereichen sowie die Reduzierung der im Betrieb befindlichen Videokameras. Die nach Ablauf der Umsetzungsfrist gelieferte Dokumentation wies jedoch immer noch Mängel auf. Die Landesbeauftragte befindet sich weiterhin in Abstimmungen, um möglichst schnell einen rechtmäßigen Zustand herstellen zu können.

Die Bußgeldstelle der Landesbeauftragten verhängte wegen festgestellter datenschutzrechtlicher Verstöße im vergangenen Jahr in 13 Fällen ein Bußgeld. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 123.000 Euro (A VI 5.2, Seite 110).

Der wohl gravierendste Fall, den die Bußgeldstelle zu bearbeiten hatte, war das Auftauchen von Live-Bildern der Videoüberwachung eines Kreditinstituts im Internet (A II 5.1, Seite 37). Die eingesetzte Kamera richtete sich auf das Foyer einer Filiale mitsamt Eingangsbereich, Kontoauszugsdrucker und Geldautomaten sowie auch auf den Gehweg und die Parkplätze vor der Filiale. Unbekannte Dritte kompromittierten schließlich die Videokamera und stellten die Echtzeitbilder für jedermann abrufbar ins Netz. In begrenztem Umfang war es sogar möglich, die Kamera zu steuern. Das Kreditinstitut hatte es versäumt, geeignete technisch-organisatorische Maßnahmen umzusetzen, um dies zu verhindern. Außerdem fehlte ein Auftragsverarbeitungsvertrag mit den Dienstleistungsunternehmen. Schließlich hätte die Kamera weder den Gehweg noch die Parkplätze erfassen dürfen. Für diese Verstöße setzten wir insgesamt eine Geldbuße im oberen fünfstelligen Bereich fest.

Während der Corona-Pandemie verlangte eine Gaststättenbetreiberin anlässlich der gesetzlich vorgegebenen Kontaktnachverfolgung von den Besucherinnen und Besuchern, im Restaurant ausgelegte Papierbögen auszufüllen. Neben anderen Angaben war auch die E-Mail-Adresse einzutragen, obwohl die relevante Verordnung dies gar nicht vorsah. Zudem sollten die Gäste auf dem Papier ankreuzen, dass sie mit einer Kontaktaufnahme des Restaurants einverstanden waren. Die E-Mail-Adressen nutzte die Gaststättenbetreiberin schließlich für den Versand eines Newsletters für Werbezwecke (A II 5.2, Seite 39). Mit der einzig erlaubten, behördlichen Corona-Kontaktnachverfolgung hatte das nichts zu tun. Wir setzten eine Geldbuße im unteren fünfstelligen Bereich fest.

Außerdem verfolgte die Bußgeldstelle einen Hackerangriff auf die Webseite eines Verbandes der Gesundheitsbranche (A II 5.4, Seite 42). Er bietet unter anderem Fahrdienste für Krankenbeförderung an. Die hier notwendigen Datensätze der Kundinnen und Kunden gaben Beschäftigte im passwortgeschützten, internen Bereich der Webseite ein. Die Webseite des Verbandes war aufgrund einer technischen Schwachstelle über mehrere Tage angreifbar. Dies führte dazu, dass sie auch tatsächlich kompromittiert und die Inhalte der Datenbank ausgelesen wurden – immerhin 89.000 Datensätze, die teilweise Rückschlüsse auf den Gesundheitszustand der betroffenen Personen zuließen. Dem Vorfall lagen mehrere datenschutzrechtliche Verstöße zugrunde; wir setzten eine Geldbuße im fünfstelligen Bereich fest.

Bei einer anlasslosen Prüfung von Autohäusern (A III 1, Seite 48) standen insbesondere der Umgang mit Unterlagen wie Fahrzeugbriefen, Rechnungen und Personalausweiskopien sowie die Nachweisführung zur Erfüllung der datenschutzrechtlichen Anforderungen im Fokus. Im Ergebnis fanden wir einen durchgehend laxen Umgang mit personenbezogenen Daten. Datenschutzerklärungen waren mangelhaft, Dokumentationspflichten wurden nicht erfüllt, Daten führten die Autohäuser oftmals doppelt und speicherten sie viel zu lange. Als Hauptursache der zu langen Speicherung von personenbezogenen Daten erwies sich die Nutzung herstellereigener IT-Systeme. Keines davon ermöglichte eine Löschung der personenbezogenen Daten, wenn erst einmal finanzielle Transaktionen vorlagen. Unklar war zudem, ob die Systeme eine Datenübermittlung in Nicht-EU-Länder vorsahen. Dagmar Hartge:

 
Einerseits werden Unternehmen zur Nutzung herstellereigener IT-Systeme gedrängt, andererseits birgt dies in vielen Fällen die Gefahr möglicher Datenschutzverstöße. Technische und organisatorische Mängel können letztlich auch die Unternehmen selbst bedrohen. Diese bleiben datenschutzrechtlich aber jederzeit verantwortlich. An die Herstellerbetriebe appelliere ich, ihre Verantwortung wahrzunehmen und die Anforderungen des Datenschutzes bei der Konzeption ihrer Systeme von vornherein zu berücksichtigen.

Ein Krankenhaus hatte die Fotos mit zahlreichen weiteren Angaben zu den dort geborenen Kindern sowie teilweise die Namen der Eltern in einer Online-Babygalerie für jedermann zugänglich veröffentlicht (A IV 1, Seite 62). Letzteres geschah vermutlich, obwohl die Eltern diese Daten in einer Einwilligungserklärung, die mehrere Zwecke umfasste, nur für die Veröffentlichung in der Tageszeitung freigegeben hatten. Wir wiesen darauf hin, dass für die weltweite Veröffentlichung der Angaben die Erklärung eines Elternteils nicht genügt und es sich bereits deshalb um sensitive Daten handelt, weil allein der Aufenthalt im Krankenhaus datenschutzrechtlich als Gesundheitsdatum zu werten ist. Das Krankenhaus hat unsere Empfehlungen umgehend aufgegriffen. Die Angaben in der Babygalerie wurden auf Bild, Vornamen und Geburtsdatum der Neugeborenen reduziert. Zudem entwickelte das Krankenhaus eine eigenständige, nur auf diesen Zweck beschränkte Einverständniserklärung.

Wir stellten fest, dass sich eine Vielzahl personenbezogener Daten von Mitgliedern eines Anglervereins im Internet abrufen ließ (A IV 4, Seite 66). Es handelte sich nicht nur um vollständige Namen und Anschriften, Telefonnummern, E-Mail-Adressen und Geburtsdaten der etwa 100 Mitglieder, sondern auch um deren Kontoverbindungsdaten sowie Überweisungen. Auch personenbezogene Daten von Kindern waren für jedermann sichtbar. Wir informierten den Verein; er nahm die Webseite daraufhin sofort vom Netz. Wie es zu dem Vorfall gekommen war, ließ sich nicht mehr aufklären. Aus unserer Sicht war die Datenschutzverletzung schwerwiegend. Aus der Veröffentlichung der Kontoverbindungsdaten können möglicherweise finanzielle Verluste oder andere wirtschaftliche Nachteile entstehen. Die sonstigen frei zugänglichen Daten eigneten sich für einen Identitätsdiebstahl. Zudem steht der besondere Schutz personenbezogener Daten von Kindern einer Veröffentlichung grundsätzlich entgegen. Die Einleitung von Sanktionen gegen den Verein prüfen wir derzeit noch.

Freizeitanglerinnen und -angler, die an brandenburgischen Gewässern kontrolliert wurden, beschwerten sich über Fischereikontrollen mit privaten Smartphones (A IV 5, Seite 68). Amtlich bestellte Fischereiaufseherinnen und Fischereiaufseher hätten auf diese Weise ihre Angelscheine und Personalausweise fotografiert. Zur Sachverhaltsaufklärung wandten wir uns zunächst an die zuständigen Landkreise als untere Fischereibehörden. Eine dieser Behörden verwies uns an das zuständige Ministerium sowie einen entsprechenden Leitfaden. Folglich machten wir gegenüber dem Ministerium deutlich, dass die Verwendung privater Smartphones für Zwecke einer staatlichen Aufsicht ohne weitere Vorkehrungen nicht tragbar ist. Der unbefugte Zugriff Dritter auf personenbezogene Daten wird dadurch erleichtert, eine behördliche Kontrolle über die Daten lässt sich nicht gewährleisten und eine Verwendung der Fotos für private Zwecke ist nicht auszuschließen. Zudem ist das Fotografieren von Ausweisdokumenten datenschutzrechtlich nicht erforderlich; es genügt ein Vermerk im Kontrollbericht. Während ein Landkreis die Verwendung privater Smartphones inzwischen untersagt hat, sind wir mit einem anderen Landkreis sowie mit dem Ministerium noch im Gespräch.

Eine erhebliche Anzahl der uns von den Verantwortlichen gemeldeten Datenschutzverletzungen ist das Ergebnis von Hacking-Angriffen auf externe Dienstleistungsunternehmen (A V 2, Seite 85). Vor dem Hintergrund zunehmend komplexer Datenverarbeitungsprozesse und gleichzeitig reduzierter Ressourcen nimmt die Tendenz zu, Datenverarbeitungen an externe Unternehmen auszulagern – von einzelnen Verarbeitungsschritten bis hin zu einem kompletten Outsourcing der gesamten IT-Landschaft in die Cloud. Viele Verantwortliche meinen, sie könnten sich auf diese Weise auch ihrer datenschutzrechtlichen Pflichten entledigen. Diese Schlussfolgerung ist jedoch unzutreffend: Aus datenschutzrechtlicher Sicht bleibt ein Dienstleistungsunternehmen weisungsgebunden. Insbesondere ist der Verantwortliche verpflichtet, die Auftragsausführung zu kontrollieren. In kleinen Unternehmen oder Vereinen fehlt dafür häufig die erforderliche Datenschutz- und IT-Kompetenz. Kommt es zu einem erfolgreichen Hacking, müssen sie den Zusicherungen der Auftragsverarbeiter glauben – sowohl was mögliche Abflüsse von Daten betrifft als auch dass die erforderlichen Datenschutz- und Sicherheitsmaßnahmen getroffen werden, um eine Wiederholung zu verhindern. Dagmar Hartge:

 
Behörden, Unternehmen und Vereine sind aufgefordert, dauerhaft eigene personelle, finanzielle und zeitliche Ressourcen auf den Gebieten des Datenschutzes und der Informationssicherheit bereitzuhalten. Hierbei kommt den in ihrer Bedeutung häufig unterschätzten Datenschutzbeauftragten vor Ort eine Schlüsselrolle zu. Sie beraten Verantwortliche und überwachen die Einhaltung datenschutzrechtlicher Vorschriften. Eine Stärkung ihrer Position kann auch die rechtskonforme Ausgestaltung von Auftragsverarbeitungen positiv beeinflussen.

Positiv bewertet die Landesbeauftragte die Ergebnisse ihrer Begleitung von polizeilichen Projekten (B 1, Seite 116). Die Polizei Brandenburg hat uns im zurückliegenden Jahr intensiv in verschiedene Verfahren und Digitalisierungsprojekte eingebunden. Das Fundament der polizeilichen IT-Sicherheit in Brandenburg – das Rahmensicherheitskonzept – hat weitere Fortschritte gemacht. Auch sind die wichtigen Vereinbarungen zur Auftragsverarbeitung inhaltlich wesentlich vorangekommen. Ein regelmäßiger Austausch fand auch im Vorfeld der Erstellung von Datenschutz-Folgenabschätzungen bei der Polizei sowie über Teilprojekte des Programms P20 statt. Dabei handelt es sich um ein übergreifendes Vorhaben von Bund und Ländern; es dient der Modernisierung und Harmonisierung der polizeilichen Informationsverarbeitung. Gegenstand des weiteren Austauschs mit der Polizei Brandenburg waren ein neu entwickelter mobiler Messenger, die einsatzbegleitende Nutzung neu beschaffter Diensttelefone sowie der Umfang der Dokumentation für die Pilotphase von IT-Services der Polizei. Dagmar Hartge:

 
Ich freue mich, dass meine Behörde von der Polizei nicht nur als kontrollierende Aufsicht wahr-, sondern auch als beratende Stelle in Anspruch genommen wird. Dies erlaubt, dass wir uns bei bedenklichen Entwicklungen für die IT-Sicherheit oder den Datenschutz frühzeitig einbringen können und Verfahren nicht erst nach Abschluss der Planungen von uns bewertet werden.

Im Rahmen einer mit anderen Aufsichtsbehörden von Bund und Ländern koordinierten Prüfung von Personenausschreibungen im Schengenraum prüfte die Landesbeauftragte insgesamt zehn nationale und schengenweite Personenausschreibungen aus Brandenburg (B 2, Seite 118). Dabei handelt es sich um eine Maßnahme, die – entweder zum Zweck der vorbeugenden Bekämpfung von Straftaten oder zur Strafverfolgung – zu einer verdeckten Beobachtung oder gezielten Kontrolle der betroffenen Personen durch die Polizei oder Grenzbehörden führt. Wir wählten jeweils vier Ausschreibungen aus, die zu präventiven und repressiven Zwecken erfolgten, sowie zwei, die der Führungsaufsicht dienten. Insgesamt konnten wir in Brandenburg keine gravierenden Mängel bei der Kontrolle der ausgewählten Personenausschreibungen feststellen. Wir stellten in zwei Fällen lediglich Fristüberschreitungen für die gesetzlich vorgesehenen Prüfungen zur weiteren Erforderlichkeit der Maßnahme sowie Dokumentationsmängel fest. Den anordnenden Behörden gegenüber haben wir klargestellt, dass eine rechtzeitige Befassung mit den Folgeanordnungen notwendig ist, um Prüffristen einzuhalten. Die getroffenen Abwägungsentscheidungen müssen vollständig dokumentiert werden. Erforderlich ist, dass die die Anordnung begründenden Tatsachen in jedem Einzelfall zusammengetragen werden, damit der Abwägungsprozess nachvollziehbar ist und nicht formelhaft reduziert wird.