Aktueller Datenschutzbericht: noch zu wenig aus Fehlern und Pannen gelernt
Veröffentlicht am:Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 22.02.2022
Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2021 vorgelegt. Der Bericht greift zahlreiche Themen des Datenschutzes und der Informationsfreiheit auf, mit denen sich das Unabhängige Landeszentrum für Datenschutz (ULD) im vergangenen Jahr beschäftigt hat. Wiederkehrende Probleme: Missbrauch vorhandener Daten, Rechtsverstöße aus Unachtsamkeit und viele Datenpannen.
Hansen blickt auf ein ereignisreiches Jahr zurück: „Wie schon im Vorjahr war unsere Tätigkeit in 2021 von der Pandemie geprägt: Corona und Datenschutz, Corona und Informationsfreiheit – aber wir bekamen auch wieder Anfragen und Beschwerden zu einer breiten Palette von Themen, die alle möglichen Formen der Verarbeitung von Daten betrafen.“ Das ULD erhielt 1.464 Beschwerden zu mutmaßlichen Datenschutzverstößen, weitere 712 Beratungsanfragen wurden bearbeitet. Dies entspricht etwa den Zahlen des Jahres 2020. Eine Zunahme um 50 % war im Bereich der Informationsfreiheit zu verzeichnen, in dem das ULD in 78 Fällen eingeschaltet wurde – und häufig erreichen konnte, dass mehr Informationen herausgeben wurden. Hansen sieht dies als Ansporn zur Verbesserung der Situation im Land, denn: „Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund. Die Nachvollziehbarkeit des Behördenhandelns hat aber gerade in Pandemie-Zeiten an Wichtigkeit gewonnen.“
In einem anderen Bereich sieht man ebenfalls einen auffälligen Zuwachs, wie Hansen berichtet: „Im Vergleich zum Vorjahr stieg die Zahl der Datenpannen-Meldungen um etwa 60 %. Dennoch zeigt sich in unseren Prüfungen, dass es noch immer Fälle gibt, in denen die Verantwortlichen ihrer Meldepflicht nicht nachgekommen sind.“ Die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten – kurz: Datenpannen – ist eine rechtliche Anforderung und muss von den Verantwortlichen umgesetzt werden. Hansens Dienststelle wirbt aber auch dafür, dass man diese Pflicht als Chance begreift, damit alle Beteiligten aus den Fehlern lernen können. „Hinterher ist man immer schlauer“ gelte nur dann, wenn die Verantwortlichen feststellen, was schiefgelaufen ist, und wenn sie daraus abgeleitete Maßnahmen treffen, damit sich die Datenschutzverletzungen nicht wiederholen. Im Tätigkeitsbericht der Landesbeauftragten für Datenschutz finden sich viele Beispiele für Datenpannen. Hansen dazu: „Unser Bericht dient auch dazu, dass alle aus Fehlern lernen können, die passiert sind. Diese Beispiele können dabei helfen, das Risiko zu bewerten, das mit der Verarbeitung personenbezogener Daten in der eigenen Firma oder Behörde verbunden ist, und geeignete Gegenmaßnahmen zu treffen.“
Das Titelbild des Tätigkeitsberichts zeigt dieses Jahr ein Labyrinth, dessen Wände mit schwarz-weißen QR-Codes gepflastert sind – ein Sinnbild für die Komplexität unseres Lebens mit oft nur schwer durchschaubaren Regeln, in dem sich viele nur mit Mühe zurechtfinden. Ebenso komplex ist die Technikwelt mit dem sich dynamisch ändernden Zusammenspiel diverser Hard- und Softwarekomponenten. Technik kann helfen, Technik bringt aber auch neue Risiken mit sich. Selbst das simple Beispiel der QR-Codes verdeutlicht das Problem des Verstehens, denn Menschen können nicht direkt ersehen, welche Daten darin enthalten sind, sondern müssen das Muster erst per Smartphone scannen. Und: Wer bei einer Einlasskontrolle einen solchen QR-Code etwa als Impfnachweis vorzeigt, weiß nicht, ob dieser beim Scannen lediglich gelesen und die Gültigkeit geprüft wird oder ob der Code kopiert und die ausgelesenen Informationen gespeichert werden.
Auch die sich immer wieder verändernden Corona-Regelungen haben im Pandemie-Jahr 2021 zu einer Verunsicherung bei der Datenverarbeitung geführt: Wie muss mit Kontaktdaten umgegangen werden? Was ist aus Datenschutzsicht bei der Prüfung von Impf-, Genesen- und Testnachweisen zu beachten? Beim ULD gingen viele Beschwerden ein, wenn Verantwortliche personenbezogene Daten beispielsweise von Gästen oder Beschäftigten verlangten, die gar nicht erforderlich waren, oder wenn das Risiko bestand, dass unbefugt auf sensible Daten zugegriffen werden konnte.
Einige der eingetretenen Datenpannen bezogen sich auf Verarbeitungen rund um das Impfen oder Testen. Andere hingen mit dem Arbeiten im Homeoffice zusammen, z. B. die Fälle, in denen Akten oder Datenträger auf dem Transport zwischen Dienstort und dem Zuhause abhandenkamen. Offene E-Mail-Verteiler, Fehladressierungen oder verlorene unverschlüsselte USB-Sticks gehören zu den Dauerthemen bei den Datenpannen-Meldungen. Der große Anstieg der Meldezahlen ergab sich aber aus mehreren Wellen von Angriffen über das Internet auf Server von Firmen und Behörden, bei denen personenbezogene Daten betroffen waren.
Hansen kommentiert dies: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können. Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind. Einige Akteure haben ein Interesse daran, Sicherheitslücken zu kultivieren statt sie zu schließen – dies ermöglicht dann ein heimliches Infiltrieren von Smartphones und Ausspionieren von Menschen mit Überwachungssoftware wie ‚Pegasus‘, die in vielen Ländern zum Einsatz kommt.“ Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Hansen fordert: „Datenschutz und Sicherheit müssen eine Selbstverständlichkeit bei jeder Verarbeitung personenbezogener Daten sein.“
Für die Verantwortlichen bedeutet dies, dass ihre eigenen Prozesse datenschutzgerecht zu gestalten sind. Bei der Auswahl von Produkten und Dienstleistern müssen sie sorgfältig vorgehen und Datenschutzkonformität einfordern. Wichtige Ansprechpartner sind die Datenschutzbeauftragten im Unternehmen oder in der Behörde.
Das bewusst missbräuchliche Verwenden von personenbezogenen Daten und das absichtliche Verstoßen gegen das Recht durch Verantwortliche und deren Dienstleister werden in der täglichen Arbeit des ULD, dessen Zuständigkeitsbereich auf Schleswig-Holstein beschränkt ist, vergleichsweise selten festgestellt. Sehr viel häufiger sind solche Fälle, in den die Verantwortlichen unachtsam waren oder die Datenschutzanforderungen grob fahrlässig ignoriert haben. Zu den am meisten nachgefragten Bereichen gehört die Videoüberwachung (179 Beschwerden, 36 Beratungsanfragen). Auch Datenschutz-Fehler bei der Website-Gestaltung – etwa durch ein unzulässiges Einbinden problematischer Tracking-Technik – sind mittlerweile stärker in den Fokus gelangt, beispielsweise im Rahmen der länderübergreifenden Branchenprüfung im Bereich Medien. Die rechtlichen Anforderungen und Hinweise zur korrekten Umsetzung lassen sich den Orientierungshilfen, Leitlinien und Informationsbroschüren entnehmen, die auf den Webseiten der Aufsichtsbehörden abrufbar sind und regelmäßig aktualisiert werden, wenn sich Gesetze ändern (im Jahr 2021 mit der Einführung des Telekommunikations-Telemedien-Datenschutzgesetz) oder gerichtliche Entscheidungen zu den Sachverhalten rechtskräftig werden.
Ein weiterer wichtiger Bereich des ULD im Jahr 2022 ist die Wissensvermittlung und Sensibilisierung zu den Themen Datenschutz und Informationsfreiheit über die Datenschutzakademie in Kursen, für Schulklassen und in Präsenzveranstaltungen wie der Sommerakademie. Nach dem der Pandemie geschuldeten Aussetzen in den letzten beiden Jahren soll diese Konferenz nun am 12. September 2022 unter dem Thema „Informationsfreiheit by Design – und der Datenschutz?!“ stattfinden.
Das diesjährige Thema ist passend dazu gewählt, dass die Landesbeauftragte für Datenschutz für das Jahr 2022 den Vorsitz der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder übernommen hat, der jährlich wechselt. Schleswig-Holstein leistet mit seinem Informationszugangsgesetz, dem Transparenzportal und den Open-Data-Initiativen einen bedeutenden Beitrag für eine bessere Nachvollziehbarkeit des Verwaltungshandelns und für Transparenz. Die häufigsten Fragen aus der Praxis beantwortet das ULD in einer neuen Informationsbroschüre. Hansen freut sich auf den kommenden Austausch mit Bund und Ländern sowie mit weiteren Initiativen und Akteuren. „Am besten werden Technik und Prozesse von Anfang an so gestaltet, dass sowohl Datenschutz- als auch Informationsfreiheitsanforderungen berücksichtigt werden“, sagt Hansen, die als Landesbeauftragte für Datenschutz für beide Bereiche zuständig ist. „Das Ziel sind praxistaugliche Umsetzungen, um die Wahrnehmung des Rechts auf Informationszugang sowohl für die Antragstellenden als auch für diejenigen, die die Informationen bereitstellen müssen, zu erleichtern. Klar: mit Datenschutz!“
Bei Nachfragen wenden Sie sich bitte an:
Die Landesbeauftragte für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223
E-Mail: mail@datenschutzzentrum.de
https://www.datenschutzzentrum.de/