Datenschutz versehentlich oder mutwillig ignoriert
Datenschutzbericht 2024 – den Datenschutz mit einer Stimme vertreten
Die Datenschutzkonferenz hatte aus Gesprächen mit Vertreterinnen und Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen
Dr. h. c. Marit Hansen, die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit. Eine Besonderheit im Berichtsjahr: Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.
"Wir liefern!" – das sagt Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz im Jahr 2023. Die Datenschutzkonferenz besteht aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiten in der Datenschutzkonferenz zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.
Zu den Schwerpunktthemen im Jahr 2023 gehörten die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chatkontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für souveräne Clouds hat die Datenschutzkonferenz Maßstäbe für Cloud-Anbietende und Cloud-Anwendende gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden kann. Sowohl auf nationaler als auch europäischer Ebene hat die Datenschutzkonferenz Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.
Während es vor etwa zehn Jahren noch ausgereicht hatte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, hat Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen wurden erarbeitet und abgestimmt. Hansen, geprägt durch die Erfahrungen des Vorsitzes, sehnt sich nach einer weiteren Professionalisierung: "Wir brauchen eine Geschäftsstelle als organisatorisches Fundament." Die Datenschutzkonferenz hatte aus Gesprächen mit Vertreterinnen und Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Hansen hält dies für machbar: "Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen."
Der Weg dahin ist noch weit: In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden. Die Verortung einer Geschäftsstelle im Gesetz ist bislang nicht vorgesehen. Hansen wünscht sich Unterstützung von Bund und Ländern: "Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen."
Neben den großen Themen, die im Jahr 2023 bearbeitet wurden, enthält der Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, die veranschaulichen, wie sich Fehler und die daraus resultierenden Schäden vermeiden lassen. So müssen Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen. Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen. Auch vorsätzliches Verhalten war zu ahnden, z. B. wenn Patientendaten bei TikTok oder SnapChat auftauchen.
Die Zahl der Beschwerden hat sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 sind 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334). Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.
Datenschutz ist für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung Geltung erlangte. Im Prinzip kennen die meisten Verantwortlichen und ihre Mitarbeitenden ihre Pflichten und wissen auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden. "Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte." Nicht mehr mit Schludrigkeit zu erklären sind Handlungen, in denen Verantwortliche das Auskunftsrecht sabotieren. Hansen hat für Salamitaktik kein Verständnis: "In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten."
Auch im Beschäftigtendatenschutz hat sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert wurde – dies reichte vom Bewerbungsgespräch bis zur Kündigung. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: "In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten."
Die meisten Beschwerden richteten sich gegen eine Videoüberwachung, der sich die betroffenen Personen ausgesetzt sehen. Mit 256 schriftlichen Beschwerden wurde im Berichtsjahr eine neue Höchstzahl erreicht (Vorjahr: 188 im nichtöffentlichen und 3 im öffentlichen Bereich). Die Zahl der Beratungen war mit 63 gegenüber dem Vorjahr leicht erhöht (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft ist das ULD jedoch nicht der richtige Ansprechpartner, sondern muss die Beschwerdeführenden auf den Weg der Zivilklage verweisen.
Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein wurde für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt, von dem sie seitdem mehrfach Gebrauch gemacht hat. Immer noch kennen viele informationspflichtige Stellen das Recht auf Informationszugang nicht, oder sie sperren sich gegen eine Herausgabe der Daten. Hansen bedauert dies: "Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist." Damit die verwendeten Datenverarbeitungssysteme die Mitarbeitenden bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzt sich die Behörde für "Informationsfreiheit by Design" ein.
Für die Zukunft sind die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirken. Dazu gehört ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen werden personenbezogene Daten eine Rolle spielen, die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein. Hansen kommentiert diese Entwicklung: "Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden."
Der Tätigkeitsbericht des ULD ist abrufbar unter: https://www.datenschutzzentrum.de/tb/tb42/. (Landesbeauftragte für Datenschutz Schleswig-Holstein: ra)
eingetragen: 28.05.24
Newsletterlauf: 26.07.24
ULD: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>