„Nicht der Datenschutz erschwert die Digitalisierung, sondern schlechte Digitalisierung erschwert guten Datenschutz.“ Der HmbBfDI stellt seinen Tätigkeitsbericht 2022 vor.

Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit vom 28.03.2023.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat heute seinen Tätigkeitsbericht 2022 vorgestellt und ihn anschließend erstmals im Rathaus an Bürgerschaftspräsidentin Carola Veit übergeben. Im Bericht wird deutlich, dass die Digitalisierung des öffentlichen Sektors in Hamburg weiter Fahrt aufnimmt, wie sich auch an einer Rekordzahl an Prüfungen und Beratungen öffentlicher Stellen durch den HmbBfDI im Berichtsjahr 2022 zeigt. Zugleich steigen die Herausforderungen durch die Digitalisierungsstrategie der Europäischen Union und den digitalpolitischen Paradigmenwechsel hin zu einer Nutzung großer Datenmengen im gesellschaftlichen Interesse, insbesondere zu Forschungszwecken. In diesem Zusammenhang sind die vor kurzem vorgestellten Pläne des Bundes für ein Gesundheitsdatennutzungsgesetz von besonderer Bedeutung. Datennutzung statt Datensparsamkeit, Widerspruch statt Einwilligung: Der Fokus des Datenschutzes wird sich verändern, Datennutzungs- und -zugangskonzepte müssen geprüft und bewertet, datenschutzrechtliche Garantien von Anfang an mitgedacht werden. Hierzu Thomas Fuchs: „Die Rechte der betroffenen Bürger:innen schützen und zugleich die Potentiale der Datennutzung heben, dieser Herausforderung stellen wir uns gern.“

In seinem Tätigkeitsbericht 2022 geht der HmbBfDI unter anderem auf folgende Themen ein:

Hackerangriffe nehmen weiter zu

Mit 807 Data Breaches, davon 227 Hackerangriffen, wurde 2022 ein neuer Höchststand meldepflichtiger Datenschutzverletzungen bei Hamburger Unternehmen und Institutionen erreicht. Auffällig ist die zunehmende Intensität der Cyber-Angriffe, die teilweise tief in die IT-Systeme eindringen und Organisationen über einen langen Zeitraum schaden können. „IT-Sicherheit bleibt ein hoch relevantes Thema. Auch Einrichtungen, die nicht zur kritischen Infrastruktur gehören, müssen auf hohe Sicherheitsstandards Wert legen, um ihre Systeme und personenbezogenen Daten zu schützen. Der HmbBfDI wird im Jahr 2023 noch gezielter Unternehmen und Institutionen in diesem Zusammenhang prüfen und begleiten,“ so Thomas Fuchs.

Kontrolle der Datenbanken der Polizei

Der HmbBfDI ist 2022 erstmals seiner neuen gesetzlichen Aufgabe (§ 73 HmbPolDVG) nachgekommen, die Datenbanken der Polizei, in denen die Ergebnisse und Verfahren von verdeckten und eingriffsintensiven Maßnahmen (z.B. Wohnraumüberwachung, Telefonüberwachung oder verdeckte Ermittlungen) gespeichert werden, systematisch zu kontrollieren. Die nachträgliche Überprüfbarkeit dieser Maßnahmen durch eine unabhängige Behörde ist ein verfassungsrechtlich gebotener Ausgleich des Grundrechtseingriffs. Es musste dabei leider festgestellt werden, dass die Polizei Hamburg der Pflicht gem. § 64 HmbPolDVG, diese Eingriffe gesondert zu protokollieren und damit eine effektive Überprüfung der Vorgänge zu ermöglichen, nicht nachgekommen ist. Die Vorgänge mussten daher händisch nacherfasst werden und konnten entsprechend nur eingeschränkt und mit einem erheblichen Zeitaufwand für beide Seiten überprüft werden. Diese defizitäre Dokumentation ist nicht hinnehmbar. Der HmbBfDI begleitet deshalb den anstehenden Veränderungsprozess. Inhaltlich wurden insbesondere Defizite bei den nachträglichen Benachrichtigungen der Betroffenen von verdeckten Maßnahmen festgestellt.

Vergleichbare Mängel liegen bei der Kennzeichnung von Daten vor, die aus den o.g. Maßnahmen gewonnen wurden. Solche Daten sind in den Dateisystemen besonders zu markieren, um die Quelle, aus der sie gewonnen wurden, transparent zu machen (§ 65 HmbPolDVG). Die Polizei kommt dieser Pflicht momentan nicht nach. Auch wenn das Gesetz hier großzügige Übergangsfristen vorsieht, ist dies kein guter Zustand. Thomas Fuchs: „Nicht der Datenschutz verhindert die Digitalisierung, sondern die schlechte Digitalisierung behindert den Datenschutz. Umsetzungsdefizite in der Digitalisierung führen zu schlechter Datenqualität, geringer Transparenz, und letztlich auch zu schlechterer Nutzbarkeit von Daten.“

Dies zeigt auch ein Prüffall bei der Staatsanwaltschaft Hamburg. Durch einen Fehler in der automatisierten Zustellung von Einstellungsbescheiden wurde der Ausländerbehörde nicht bzw. nur sehr verspätet mitgeteilt, ob eingeleitete Ermittlungsverfahren gegen registrierte Mitbürger:innen ausländischer Herkunft wieder eingestellt wurden. Dadurch enthalten die Ausländerakten häufig unvollständige oder nicht richtige Daten. Da hier zehntausende Fälle betroffen sind, ist dies ein schwerwiegender Systemfehler. Die ursächliche Problematik wurde inzwischen zwar behoben, wie dieses fehleranfällige Altsystem aber mittel- und langfristig ersetzt wird, ist noch nicht absehbar. Die Gespräche mit der Staatsanwaltschaft sind uneingeschränkt kooperativ, aber leider bisher noch ohne eine konkretisierte Lösungsperspektive.

Bußgelder gegen Testzentren

Bei einer Schwerpunktanalyse von Testzentren, die während der Corona Pandemie eine hohe Zahl von sensiblen Gesundheitsdaten erhoben haben, hat der HmbBfDI in einigen Fällen Missstände bei der Datenverarbeitung aufgedeckt, die teilweise zur rechtswidrigen Offenlegung von Testergebnissen führten. In vier Fällen wurden deshalb auch Bußgelder verhängt.

Cookie-Banner

Mit Änderung des HmbDSG im Januar dieses Jahres hat der HmbBfDI Zuständigkeiten und aufsichtsrechtliche Befugnisse bei der Kontrolle des TTDSG erhalten. Dies betrifft auch die Prüfung der sog. Cookie-Banner, die bei nahezu jedem Online-Dienst zu finden sind. Bereits im letzten Jahr hatte der HmbBfDI gemeinsam mit anderen Aufsichtsbehörden erreicht, dass die rechtlich gebotene gleichwertige Ablehnungsalternative auf der ersten Ebene (sog. Alles Ablehnen-Button) immer mehr zum Standard wird. Häufig erfolgt aber trotz Ablehnung nicht erforderlicher Cookies ein umfangreiches Cookie-basiertes Tracking, die ablehnende Entscheidung der Nutzer:innen wird damit rechtswidrig ignoriert. Der HmbBfDI wird in diesem Zusammenhang noch im März erste Verfahren gegen Hamburger Unternehmen einleiten.

Meta Platforms Inc. und Europa

2022 sind mehrere große europäische Verfahren gegen Produkte der Meta Platforms Inc. zum Abschluss gekommen. Mit verbindlichen Entscheidungen des Europäischen Datenschutzausschusses, an denen der HmbBfDI intensiv beteiligt war, wurden im letzten Jahr Bußgelder in Höhe von insgesamt 800 Mio. € verhängt. Auch im Jahr 2023 steht noch eine grundsätzliche Entscheidung in einem Facebook-Verfahren an. Die datenschutzrechtlichen Defizite bei Facebook, Instagram und WhatsApp insbesondere bei der Nutzung personenbezogener Daten zu Werbezwecken werden damit auf der obersten europäischen Ebene der Datenschutzaufsicht festgestellt. Insofern bleibt es problematisch, dass staatliche Stellen meinen, Facebook weiter für ihre Öffentlichkeitsarbeit nutzen zu müssen.

Der Bericht kann hier heruntergeladen werden.

Pressekontakt:
Alina Feustel
Telefon: +49 40 428 54-4708
E-Mail: presse@datenschutz.hamburg.de