Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Mittwoch in Dresden ihren Datenschutz-Tätigkeitsbericht an Landtagspräsident Dr. Matthias Rößler übergeben. In der Publikation sind die Arbeitsschwerpunkte des zurückliegenden Jahres zusammengefasst. Neben besonderen Fällen aus der Datenschutzpraxis enthält der Bericht Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung und zur Rechtsprechung.
Mehr Beschwerdeverfahren (S. 194)
Im Berichtszeitraum gingen bei der SDTB rund 1.160 Beschwerden und Kontrollanregungen zu potenziellen Datenschutzverstößen ein. Das waren fast zehn Prozent mehr als im Vorjahr. Der Zuwachs betraf vor allem den nichtöffentlichen Bereich. Das heißt, es handelte sich bei den datenschutzrechtlich Verantwortlichen beispielsweise um Unternehmen oder Privatpersonen.
Hinzu kamen knapp 600 schriftliche Beratungsanfragen.
Höchststand bei gemeldeten Datenpannen (S. 178 ff.)
Eine Steigerung der Fallzahlen verzeichnete die Sächsische Datenschutz- und Transparenzbeauftragte auch bei den gemeldeten Datenpannen: »2023 teilten mir Verantwortliche rund 950 Datenschutzverletzungen mit, so viele wie noch nie«, sagt Dr. Juliane Hundert.
Zum Vergleich: 2022 erreichten die SDTB etwa 150 Meldungen weniger.
Zu den häufigsten Datenpannen gehörten der Fehlversand sowie der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität.
KI und die Prüfung von ChatGPT (S. 26 f.)
Im Berichtszeitraum kam eine breite Debatte zum Einsatz von Künstlicher Intelligenz auf – maßgeblich entfacht durch die Entwicklungen bei ChatGPT von OpenAI. Deutsche und europäische Aufsichtsbehörden hatten allerdings Zweifel, dass der Dienst alle Anforderungen des europäischen Datenschutzrechts erfüllt. In Abstimmung mit den anderen Datenschutzbeauftragten leitete auch die SDTB ein Verfahren gegen das Unternehmen ein.
Dr. Juliane Hundert: » Im Rahmen unserer Prüfung ist deutlich geworden, dass auch bei KI-Anwendungen auf die Einhaltung datenschutzrechtlicher Regelungen geachtet werden muss. Dies gilt insbesondere für die öffentliche Verwaltung. Sie nimmt öffentliche Aufgaben wahr und kann sich deshalb bei der Verarbeitung personenbezogener Daten nicht auf ein unternehmerisches Interesse berufen. Natürlich bieten neue Technologien Chancen, aber wir müssen auch auf die Risiken für die Persönlichkeitsrechte der Bürgerinnen und Bürger schauen und diese Risiken minimieren.«
Polizei und Justiz
Seit jeher gehören Polizei und Justiz wegen der hohen Eingriffstiefe in die Grundrechte zu den Schwerpunkten der Datenschutzaufsicht. Für Schlagzeilen sorgten im vergangenen Jahr die Ereignisse auf einer Demonstration in Leipzig (S. 41 ff). Am sogenannten »Tag X« kam es zu Angriffen auf Polizeibeamte und zu Sachbeschädigungen. Einsatzkräfte kesselten daraufhin über 1.300 Personen ein. Die Polizei nahm Identitätsfeststellungen vor und beschlagnahmte über 380 Mobiltelefone. Dr. Juliane Hundert: »Ich habe die Strafverfolgungsbehörden darauf aufmerksam gemacht, dass der Anteil verfahrensrelevanter Daten auf den beschlagnahmten Mobiltelefonen verschwindend gering sein dürfte. Zudem wies ich daraufhin, dass nach geltendem Recht, nicht verfahrensrelevante Daten unverzüglich gelöscht bzw. herausgegeben werden müssen. Später erfolgte aufgrund einer Allgemeinverfügung der Staatsanwaltschaft eine Freigabe bzw. Herausgabe von beschlagnahmten Mobiltelefonen, nachdem die Daten zuvor gesichert worden waren. Die Auswertung der gesicherten Datenbestände muss nun zeitnah erfolgen, damit die großen Mengen verfahrensirrelevanter, jedoch höchstpersönlicher Daten gelöscht werden können.«
Schwärzung von Sitzungsunterlagen für Gemeinderäte (S. 36 ff.)
In einem anderen Fall weigerte sich ein Bürgermeister, den Mitgliedern des Gemeinderats ungeschwärzte Sitzungsunterlagen vorzulegen. Geschwärzt wurden Firmennamen und -adressen, die zur Vorbereitung eines Zuschlagsbeschlusses für eine kommunale Vergabe an die Gemeinderäte übersandt wurden. Der Bürgermeister begründete die Schwärzung damit, dass die Bieterauswahl anonym und die Gemeinderäte objektiv entscheiden sollen.
»Allerdings wurde dabei nicht beachtet, dass die Gemeindeordnung vorsieht, dass den Ratsmitgliedern alle Unterlagen zur Verfügung gestellt werden müssen, die für die Beratung und Meinungsbildung benötigt werden. Dazu gehören selbstverständlich auch die Namen der Firmen, die sich auf eine öffentliche Ausschreibung beworben haben. Hier ist dem umfassenden Informationsbedarf der Räte Rechnung zu tragen. Diese sind wiederum verpflichtet, in bestimmten Fällen zum Schutz personenbezogener Daten Verschwiegenheit zu wahren«, sagt Sachsens Datenschutzbeauftragte.
Das Verfahren konnte 2023 noch nicht abgeschlossen werden.
Großes Themenspektrum im Berichtszeitraum
Neben den genannten Vorgängen befasste sich die SDTB mit einer Vielzahl an weiteren Sachverhalten, zum Beispiel mit der Zuverlässigkeitsüberprüfung von Personen für die Fußballeuropameisterschaft (S. 44 ff.), mit dem Beschäftigtendatenschutz bei der Vorlage von erweiterten Führungszeugnissen (S. 39 ff.), mit dem Datenschutz bei Funk-Rauchwarnmeldern (S. 86 ff.) und fernablesbaren Messgeräten (S. 88 ff.), mit Kfz-Kennzeichenerfassungssystemen (S. 61 ff.), mit der überzogenen Datenerhebung bei der Schulaufnahmeuntersuchung (S. 95 ff.) und der Aufzeichnung von Telefongesprächen durch eine Sozialbehörde (S. 107 ff.).
Weiterhin hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (S. 199 f.).
Bezug des Tätigkeitsberichts Datenschutz 2023
Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de