Abschluss der Sachverhaltsabklärung zu einer Dating-App

Medienmitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 13.06.2023

Der EDÖB hat die Sachverhaltsabklärung bezüglich der Dating-App Once abgeschlossen. Die in der Schweiz ansässige, aber international tätige Anbieterin informierte die Nutzerinnen und Nutzer unzureichend über Art und Zweck der Datenbearbeitung. In seinem Schlussbericht sprach der EDÖB mehrere Empfehlungen aus, um diesen Mangel zu beheben und die Einhaltung der Bearbeitungsgrundsätze des Datenschutzgesetzes zu gewährleisten. Das Unternehmen hat die Empfehlungen angenommen.

Weiterlesen Abschluss der Sachverhaltsabklärung zu einer Dating-App

Gemeinsame Pressemitteilung – Einheitliche Regeln für Datenschutzbußgelder in Europa

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 08.06.2023

Der Europäische Datenschutzausschuss (EDSA) hat in seiner Sitzung vom 24. Mai 2023 die endgültigen Leitlinien zur Bußgeldzumessung nach einer öffentlichen Konsultation angenommen.

Damit erfolgt die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben. Als Repräsentantinnen der deutschen Datenschutzaufsicht waren auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes beteiligt.

Weiterlesen Gemeinsame Pressemitteilung – Einheitliche Regeln für Datenschutzbußgelder in Europa

Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Jahresbericht 2022

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, hat heute ihren Jahresbericht für das Jahr 2022 vorgestellt. Auf 170 Seiten informiert sie darin über die wichtigsten Beratungen und Verfahren sowie maßgebliche Bußgeldfälle aus dem vergangenen Jahr.

Meike Kamp: „Im Jahr 2022 beschäftigten uns erneut die Folgen der Corona-Pandemie, etwa in mehreren Bußgeldfällen gegen Corona-Testzentren. Im Fokus standen aber auch Beratungen zur datenschutzkonformen Digitalisierung der Verwaltung sowie die Prüfung von knapp 4.500 Eingaben der Berlinerinnen und Berliner. Ich sehe es als meine Aufgabe an, sicherzustellen, dass Menschen von der Digitalisierung profitieren, ohne auf Selbstbestimmung und unbeobachtete Freiräume verzichten zu müssen.“

Im Jahr 2022 wandten sich Privatpersonen in insgesamt 4.445 Fällen mit einer Beschwerde oder einem Beratungsersuchen an die BlnBDI. Die Zahl ist weiterhin auf einem hohen Niveau, doch geringer als im Vorjahr (5.671 Eingaben), als sich besonders viele Menschen im Zusammenhang mit der Pandemiebekämpfung beschwerten. Auch die Zahl der gemeldeten Datenpannen ging leicht zurück auf 1.068 Vorfälle, häufig verursacht durch Schadsoftware-Angriffe oder Schwachstellen.

Die Behörde hat 269 Verwarnungen, sieben Warnungen und vier Anordnungen gegenüber privaten und öffentlichen Stellen ausgesprochen. Zudem erließ sie Bußgelder in Höhe von insgesamt 716.575 Euro, u. a. gegen eine Auskunftei, die 13 falsche Geburtsdaten zu einem Beschwerdeführer gespeichert hatte. Das höchste Bußgeld mit 525.000 Euro wurde gegen einen Online-Händler aufgrund eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten erlassen. Weitere Bußgelder ergingen gegen Corona-Testzentren und aufgrund unbefugter Datenbankabfragen durch Polizeibedienstete und Beschäftigte der Jobcenter.

Erheblichen Aufholbedarf beschreibt der Jahresbericht bei der Verwaltungsdigitalisierung. Die konkrete Umsetzung ist mit vielen technischen Herausforderungen verbunden und wirft zahlreiche Datenschutzfragen auf, bei deren Beantwortung die BlnBDI umfangreich unterstützt. So hat die Behörde das Sozialamt Mitte bei der Erstellung des Datenschutzkonzepts zur E-Akte beraten, das nun auch von anderen Behörden verwendet werden soll.

Wie gelungene Beratung öffentlicher Stellen aussehen kann, zeigte sich bei zwei Projekten in den Bereichen Jugendhilfe und Hochschulen. In beiden Fällen wurde die BlnBDI frühzeitig eingebunden, um hinsichtlich des Datenschutzes zu beraten. So verwarf eine Berliner Universität nach der Beratung ihre ursprüngliche Idee, Studieneignungstests mithilfe von Proctoring-Software umfassend zu überwachen. Die neuen Ausführungsvorschriften für die Jugendhilfe im Strafverfahren wurden durch die Beratung der BlnBDI praxisgerecht an die DSGVO angepasst.

Im Nachgang zur Bundestagswahl erreichten die Behörde zahlreiche Beschwerden zu personalisierten Testimonials von Prominenten aus Politik und Wirtschaft, die für einen Bundestagskandidaten warben. Die BlnBDI stellte mehrere Datenschutzverstöße fest, u. a., weil die Betroffenen über den wahren Absender und die Herkunft der Daten im Unklaren gelassen wurden. Angesichts der hohen Zahl an Betroffenen und der Schwere der Verstöße prüft die BlnBDI derzeit die Verhängung eines Bußgeldes gegen den Bezirksverband der Partei.

In dieser Woche feiert die europäische Datenschutz-Grundverordnung (DSGVO) ihr fünfjähriges Jubiläum. Meike Kamp resümiert: „Es hat einige Zeit gedauert, aber mittlerweile gewinnt die europäische Kooperation unter den Aufsichtsbehörden an Fahrt. Jedes Jahr sehen wir mehr Sanktionen, mehr Aufsichtsmaßnahmen auf europäischer Ebene, auch gegen die großen Tech-Plattformen. Mit dem Digitalpaket und der Datenstrategie der Europäischen Union sowie der geplanten Regulierung des politischen Targetings stehen neue rechtliche Entwicklungen bevor, die unsere Arbeit mitbestimmen werden.“

Nach wie vor wartet Berlin auf die Verabschiedung eines modernen Transparenzgesetzes, nachdem der wiederholte Anlauf der letzten Koalition erneut scheiterte. Der Jahresbericht verdeutlicht, welchen Reformbedarf es bei der Informationsfreiheit in Berlin gibt. Dazu Meike Kamp: „Die Menschen in unserer Stadt müssen bei politischen Entscheidungen viel mehr mitgenommen werden. Da kann das Transparenzgesetz helfen, indem es die Behörden verpflichtet, von sich aus Informationen zur Verfügung zu stellen, die als Grundlage für politische Entscheidungen dienen.“

Der Jahresbericht ist abrufbar unter: www.datenschutz-berlin.de/jahresbericht-2022

PDF-Übersicht über ausgewählte Themen

Über die BlnBDI

Am 6. Oktober 2022 wählte das Abgeordnetenhaus Meike Kamp zur neuen Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI). Mit ihrem Amtsantritt am 15. November hat sie die Leitung der Dienststelle übernommen. Die BlnBDI ist in der Ausübung ihres Amtes unabhängig und nur dem Gesetz unterworfen.

Sie hat den Auftrag, die Einhaltung der datenschutzrechtlichen Vorschriften im Land Berlin zu kontrollieren sowie in Fragen des Datenschutzes zu informieren und zu beraten. Ihrer Aufsicht unterliegen die Berliner Behörden sowie private Stellen wie Unternehmen und Vereine mit Sitz in Berlin. Seit 1999 hat sie zudem die Wahrung des Rechts auf Akteneinsicht und Informationszugang sicherzustellen.

Kontakt

Simon Rebiger, Pressesprecher
+ 49 30 13889-900
presse@datenschutz-berlin.de

„Licht und (digitaler) Schatten“ – Prüfung zum Datenschutzniveau an 50 niedersächsischen Schulen

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 17.05.2023

Im vergangenen Jahr 2022 hat die niedersächsische Landesdatenschutzbeauftragte Barbara Thiel insgesamt 50 allgemeinbildende Schulen und Berufsschulen geprüft. Das Ergebnis dieser Prüfung liegt jetzt vor. Demnach sind die niedersächsischen Schulen in den Bereichen Datenschutzbeauftragte, Verzeichnisse von Verarbeitungstätigkeiten, Datenpannen- und Löschkonzepte überwiegend zufriedenstellend aufgestellt. „Dieses Ergebnis“, so Barbara Thiel, „führe ich auf die Arbeit der Datenschutzreferenten und -referentinnen der Regionalen Landesämter für Schule und Bildung (RLSB) zurück, die die Schulen bei der Anwendung des Datenschutzrechts im Schulalltag erfolgreich unterstützen.“

Weiterlesen „Licht und (digitaler) Schatten“ – Prüfung zum Datenschutzniveau an 50 niedersächsischen Schulen

Tätigkeitsbericht Datenschutz 2022 vorgelegt

Pressemitteilung der Sächsischen Datenschutz- und Transparenzbeauftragten vom 16.05.2023

Die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) Dr. Juliane Hundert hat am Dienstag in Dresden ihren Datenschutz-Tätigkeitsbericht für das zurückliegende Jahr vorgestellt. Auf über 230 Seiten sind die Schwerpunkte der Datenschutzaufsicht, Statistiken, Hinweise zur Auslegung der Datenschutz-Grundverordnung, zur Sanktionspraxis und Datenschutz-Rechtsprechung zusammengefasst.

Facebook-Fanpages in der Kritik
Im Berichtszeitraum hat die SDTB ein aufsichtsrechtliches Verfahren gegen die Sächsische Staatskanzlei als Betreiberin einer Facebook-Fanpage eingeleitet (1.1). Dabei handelt es sich um ein Musterverfahren, denn auch andere Ministerien oder öffentliche Stellen sind auf der Plattform des Meta-Konzerns vertreten. Die Staatskanzlei hatte nach mehreren Fristverlängerungen schließlich Ende März 2023 eine Stellungnahme übersandt.
Dr. Juliane Hundert: »Ob ich der Staatskanzlei den Betrieb einer Facebook-Fanpage untersage, entscheidet die derzeitige datenschutzrechtliche Prüfung. Das Ergebnis liegt voraussichtlich in den kommenden Wochen vor. Unabhängig davon will ich noch einmal deutlich sagen: Es ist nicht die Aufgabe staatlicher Stellen, Facebook-Algorithmen mit Daten von Bürgerinnen und Bürgern zu füttern. Zumal eine Reihe an datenschutzfreundlichen Alternativen bereitstehen. Dazu zählen beispielsweise ein aktueller Internetauftritt, Newsletter oder soziale Netzwerke wie der Kurznachrichtendienst Mastodon.“

Zensus, Kommune und Polizei kontrolliert
Die SDTB befasste sich im Berichtszeitraum unter anderem mit dem Zensus 2022 (1.2). Zudem nahm sie nach Abklingen der Pandemie die Querschnittskontrollen bei Kommunen (1.3) wieder auf. „Bei Vor-Ort-Kontrollen habe ich mir die Datenverarbeitung genau angeschaut. Das Ergebnis war erfreulich. Sowohl bei der stichprobenartigen Kontrolle des Zensus als auch bei der überprüften Kommune wurde sorgsam mit den Daten der Bürgerinnen und Bürger umgegangen“, fasst Dr. Juliane Hundert zusammen.

Hingegen variierten die Ergebnisse bei der Kontrolle der Polizei. Im Fokus standen im Berichtszeitraum die besonders eingriffsintensiven Maßnahmen (8.5), wie beispielsweise die längerfristige Observation, Videoüberwachung, die elektronische Aufenthaltsüberwachung oder die Telekommunikationsüberwachung.
Dr. Juliane Hundert resümiert: »Während in vielen Fällen die Vorschriften des Sächsische Polizeivollzugsdienstgesetzes korrekt angewendet wurden, musste ich auch einige, teilweise gravierende Defizite feststellen. Beispielsweise enthielten die Anträge unzureichende Angaben zu Art und Umfang der geplanten Maßnahme. Auch habe ich festgestellt, dass Maßnah¬men für Zeiträume beantragt wurden, welche die gesetzlich normierte Höchstdauer weit überschritten. In mehreren Fällen wurden die betroffenen Personen nach Abschluss der Maßnahme nicht korrekt informiert. Insbesondere fehlten in den Benachrichtigungsschreiben zum Beispiel die Angabe der Rechtsgrundlage der Datenverarbeitung, der Speicherdauer sowie der Rechte der Betroffenen. Weiterhin wurden die erhobenen Daten, die für die polizeiliche Arbeit nicht mehr erforderlich waren, nicht in allen Fällen unverzüglich gelöscht. Die Speicherung von Daten über einen für den konkreten erforderlichen Zweck hinausgehenden Zeitraum ist jedoch rechtswidrig.«

Im Ergebnis der Kontrollen wies die SDTB die betroffenen Polizeistellen auf die festgestellten Fehler hin und forderte sie zur dringenden Beachtung der gesetzlichen Anforderungen auf. Über die Feststellungen informierte Dr. Juliane Hundert auch das Innenministerium als oberste Aufsichtsbehörde und das parlamentarische Kontrollgremium des Landtags. Gemeinsam mit dem Staatsministerium wurde erörtert, wie zukünftig die Beachtung der gesetzlichen Anforderungen und damit die Rechtmäßigkeit der Datenerhebung und -verarbeitung durch die Polizei sichergestellt werden können.
»Ich habe die Erstellung von einheitlichen Prüfschemata und Mustern für die Beantragung, Durchführung und Nachbereitung der Maßnahmen angeregt. Die Beachtung gesetzlicher Vorgaben ist Grundlage rechtsstaatlichen Handelns und dient dem Schutz der Betroffenen und der Gewährleistung ihrer Rechte«, betont die Sächsische Datenschutz- und Transparenzbeauftragte.

Polizeiliche und private Videoüberwachung
In einem anderen Fall schaute sich die SDTB die polizeiliche Videoüberwachung an Straßen im Grenzgebiet im Raum Görlitz an (8.6.). »Den weiteren Ausbau der Videoüberwachung sehe ich sehr kritisch. Vor Ort habe ich deutlich gemacht, dass Videoüberwachung nur dann zulässig ist, wenn es sich um einen Kriminalitätsschwerpunkt handelt oder sie in einem Ermittlungsverfahren angeordnet wurde. Liegen diese Voraussetzungen nicht mehr vor, sind die Anlagen abzuschalten. Das muss dann auch deutlich für die Bürgerinnen und Bürger erkennbar sein. Hierzu bin ich im ständigen Austausch mit der Polizei vor Ort.«

Die rechtlichen Anforderungen an eine Videoüberwachung sind auch im nichtöffentlichen Bereich hoch. Im Berichtszeitraum setzte sich die SDTB unter anderem mit der Videoüberwachung in Spielhallen (2.2.21), im Kleingartenverein (2.2.20) und auf Privatwegen (2.2.22) auseinander. »Wer unzulässig eine Kamera betreibt, für den kann das zu einer kostspieligen Angelegenheit werden. Zum einen sprechen Zivilgerichte Betroffenen auch Schadenersatzansprüche zu. Zum anderen droht ein Bußgeld meiner Behörde«, sagt Dr. Juliane Hundert.

Zahlen und Daten
Unerlaubte Videoüberwachung bildete 2022 erneut den größten Anteil der Ordnungswidrigkeitenverfahren im nichtöffentlichen Bereich (6.4.2). Etwa zwei Drittel der Anzeigen (47) bezogen sich auf die Anfertigung von Videoaufnahmen. Generell waren im Berichtszeitraum 71 neue Ordnungswidrigkeitenanzeigen zu verzeichnen – die Anzahl bewegte sich damit geringfügig unter dem Niveau von 2021. Hingegen gab es im öffentlichen Bereich insgesamt 18 neue Verfahren (6.4.1).

Im Berichtszeitraum gingen 1.068 Beschwerden und Kontrollanregungen bei der SDTB ein. Das Aufkommen lag damit etwas unter dem der Vorjahre (2021: 1.254).
Dr. Juliane Hundert: »Auffällig ist, dass der Rückgang sowohl den öffentlichen als auch den nichtöffentlichen Bereich betraf und auch bei Kolleginnen und Kollegen in den anderen Bundesländern zu verzeichnen war. Etwa zwei Drittel der in meiner Behörde eingehenden Beschwerden betreffen den Bereich der nichtöffentlichen Stellen, also mögliche Verstöße in Unternehmen oder durch Private.«

Ein leichter Rückgang zeigte sich ebenfalls bei den Beratungen. Mit 966 schriftlichen Anfragen registrierte die Behörde etwas weniger Vorgänge als in den ersten beiden Corona-Jahren (2021: über 1.100).

Der Trend bei der Meldung von Datenschutzverletzungen weist seit Jahren nach oben. »Im Berichtszeitraum meldeten Verantwortliche insgesamt 809 Datenpannen. Das waren weniger als 2021 (923), jedoch deutlich mehr als in den Vorjahren. Sollte es tatsächlich zu weniger Vorfällen gekommen sein, wäre dies vor dem Hintergrund der zunehmenden Digitalisierung eine erfreuliche Entwicklung«, erläutert Dr. Juliane Hundert.
Wie in den Jahren zuvor waren die häufigsten Datenpannen der Fehlversand und der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität (4.4.1).

Großes Themenspektrum auch in 2022
Neben den Vorgängen, die im Zusammenhang mit Datenpannen standen, bearbeitete die SDTB eine Vielzahl an weiteren Datenschutzthemen: Auskunftsrecht (3.2.), Abo-Modelle im Online-Bereich (2.3.6) sowie Websites und Apps (4.1.1; 4.3.1). Außerdem drehte sich im Berichtszeitraum vieles um den Schutz und die Verarbeitung von Gesundheitsdaten, beispielsweise um den Auskunftsanspruch bei Patientenakten (3.2.3) oder die Übermittlung von Gesundheitsdaten an Inkassounternehmen (2.4.1). Auch die ergriffenen Maßnahmen zur Corona-Pandemie waren Anfang des Jahres 2022 noch ein Thema (1.4, 1.5, 2.2.8). Ferner hat die SDTB eine Reihe von Rechtsetzungsvorhaben begleitet (6.2.8).

Bezug des Tätigkeitsberichts Datenschutz 2022
Der Bericht der Sächsischen Datenschutz- und Transparenzbeauftragten kann über den zentralen Broschürenversand des Freistaates Sachsen kostenfrei bestellt werden: publikationen.sachsen.de