18.04.2018Landesbeauftragte stellt Tätigkeitsbericht 2016/2017 zu Datenschutz und Akteneinsicht in Brandenburg vor | 03/2018

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, veröffentlicht heute ihren 19. Tätigkeitsbericht für die Jahre 2016 und 2017:

Am 25. Mai 2018 ersetzt die Datenschutz-Grundverordnung das bisherige Datenschutzrecht. Für die Vorbereitung der Umsetzung der europaweit unmittelbar anzuwendenden Vorschriften hatten Unternehmen und Verwaltungen zwei Jahre Zeit. Die Landesbeauftragte begleitete diesen Prozess durch Beratungen und Fortbildungen, musste sich aber auch selbst für neue Aufgaben und Befugnisse rüsten. In ihrem Tätigkeitsbericht erläutert sie die wichtigsten Neuerungen (Teil A, Seite 17):

Im Mittelpunkt der Datenschutz-Grundverordnung steht die Stärkung des Schutzes der Privatsphäre des Einzelnen. Zu diesem Zweck müssen Unternehmen und Behörden beispielsweise dokumentieren, dass sie die Vorschriften einhalten, und dies im Bedarfsfall nachweisen (Punkt A 2.1, Seite 20). Sie sind zudem verpflichtet, Betroffenen von sich aus Informationen über die Verarbeitung ihrer Daten zur Verfügung zu stellen (Punkt A 2.3, Seite 24). An die Wirksamkeit der Einwilligung zur Datenverarbeitung werden künftig strengere Anforderungen gestellt als bisher (Punkt A 2.2, Seite 21). Bei der Einführung neuer Technologien und Verfahren ist der Datenschutz frühestmöglich zu berücksichtigen. Außerdem brauchen Nutzer oder Kunden den Schutz ihrer Daten nicht mehr durch ein verstecktes Häkchen auszuwählen; diese Option wird vielmehr zum Standard (Punkt A 2.4, Seite 26). Für hoch riskante Datenverarbeitungen muss vorab eine Datenschutz-Folgenabschätzung durchgeführt werden; dabei sind nicht nur die Risiken für die Betroffenen zu dokumentieren, sondern auch die Maßnahmen zu ihrer Bewältigung festzulegen (Punkt A 2.5, Seite 29). Dagmar Hartge:

Die Datenschutz-Grundverordnung bringt das Recht auf informationelle Selbstbestimmung endlich auf einen aktuellen Stand. Sie trägt damit nicht zuletzt den technologischen Entwicklungen und grenzüberschreitenden Datenverarbeitungen Rechnung. Dennoch erfindet sie das Rad nicht neu. Unternehmen und Behörden, die den Datenschutz bisher schon berücksichtigt haben, sind gut vorbereitet. Dass die anderen dem Thema jetzt eine größere Aufmerksamkeit widmen, ist erfreulich.

Für die Landesbeauftragte als Aufsichtsbehörde bringen die neuen Vorschriften nicht nur verschärfte Sanktionsbefugnisse (Punkt A 2.8, Seite 33). Die Einrichtung eines Justiziariats war erforderlich, um die künftig verstärkt auftretenden Rechtsfragen effektiv klären zu können. Außerdem bedürfen die europaweit einheitlichen Regelungen einer einheitlichen Auslegung; hierfür ist die enge, grenzübergreifende Abstimmung der Aufsichtsbehörden erforderlich. Bereits jetzt stellt die Landesbeauftragte erste Handreichungen in diesem Zusammenhang zur Verfügung (Punkt A 1, Seite 17). Personelle Kapazitäten werden zudem durch die Kontrolle der Einhaltung der neuen Vorschriften dauerhaft gebunden. Ihrer stark erweiterten Beratungspflicht gegenüber Unternehmen und Behörden wird die Landesbeauftragte auch nach der aktuellen, sehr arbeitsintensiven Vorbereitungsphase weiterhin nachkommen. Ohne die vom Landtag beschlossene und inzwischen erfolgte Personalaufstockung wäre die systematische Vorbereitung und Umsetzung dieser Aufgabenwahrnehmung nicht denkbar (Punkt D 1, Seite 223). Eine lückenlose Datenschutzaufsicht im Land Brandenburg ist mit den vorhandenen Personalstellen jedoch auch weiterhin nicht möglich.

Neben diesem Schwerpunktthema enthält der Tätigkeitsbericht zahlreiche Beiträge über die Ergebnisse von Kontrollen und Beschwerden sowie zu datenschutzrelevanter Gesetzgebung und technologischen Verfahren:

Bei der Analyse umfangreicher Datenbestände durch Big-Data-Anwendungen im Gesundheitswesen kommt es darauf an, dass diese wirksam anonymisiert oder zumindest pseudonymisiert werden. Große Datenmengen aus unterschiedlichen Quellen sind zwar einerseits für medizinische Analysen hilfreich, bergen andererseits aber stets die Gefahr, dass trotz scheinbarer Anonymisierung der Bezug zu einer konkreten Person im Nachhinein wieder herstellbar ist. Für solche Verknüpfungen von Daten bedarf es daher künftig in der Regel einer gesetzlichen Grundlage und angemessener technischer Vorkehrungen (Punkt B 2.2, Seite 50).

Die Landesbeauftragte beteiligte sich an einer unter den Aufsichtsbehörden deutschlandweit abgestimmten Prüfaktion von sogenannten Wearables mit Gesundheitsfunktion. Keines der getesteten Geräte erfüllte die datenschutzrechtlichen Anforderungen vollständig. Die Datenschutzerklärungen waren zumeist unvollständig und schwer verständlich; die Nutzer erfuhren oftmals nicht in ausreichendem Maße, wer konkret Zugriff auf ihre Daten hatte. Dies waren neben den Hardware-Herstellern und den App-Anbietern oft externe Dienstleister. Fast kein Gerätehersteller klärte zudem über die Verarbeitung der besonders schützenswerten Gesundheits- und Standortdaten auf (Punkt B 6.1, Seite 88).

Das Paket eines Apothekenrechenzentrums mit Originalrezepten kam nicht bei der gesetzlichen Krankenkasse an. Offenbar war es bei einem Einbruch in das Depot des Paketdienstes verschwunden. Wir nahmen dies zum Anlass, die Vereinbarungen zwischen Apotheken und deren Rechenzentren stichprobenartig zu kontrollieren. Während die erforderlichen Verträge zur Datenverarbeitung im Auftrag zwar größtenteils vorhanden waren, kam die Mehrzahl der Apotheken ihrer Pflicht zur Kontrolle der von den Rechenzentren einzuhaltenden technischen und organisatorischen Maßnahmen nicht nach (Punkt B 6.5, Seite 93).  

Während des Nachtdienstes wurden zwei Babyfone in den Gemeinschaftsräumen einer Seniorenwohnanlage eingesetzt. Dadurch sollten Auffälligkeiten frühzeitig bemerkt und im Bedarfsfall eine schnelle Hilfe ermöglicht werden. Nicht ausgeschlossen war, dass sogar das gesprochene Wort aus angrenzenden Zimmern der Bewohner mitgehört werden konnte. Es hätte also nicht nur technischer Sicherheitsvorkehrungen bedurft, um das Abhören durch Dritte zu verhindern, sondern auch der Einwilligung aller betroffenen Bewohner. Die Einrichtung hat sich im Ergebnis entschieden, die verwendeten Geräte zu entfernen (Punkt B 3.4, Seite 74). Dagmar Hartge:

In den Bereichen Gesundheit und Pflege erwartet wohl jeder eine exzellente Betreuung sowie einen funktionierenden Service. Voraussetzung hierfür ist ein einwandfreies Vertrauensverhältnis zu Ärzten, Krankenkassen, Apotheken, Pflegepersonal und anderen Dienstleistern. Ein solches lässt sich nur erreichen, wenn die Beteiligten auch den Datenschutz als Dienst am Patienten verstehen.

Allen Diskussionen um den Datenschutz in sozialen Netzwerken zum Trotz erreichten uns auch in den beiden zurückliegenden Jahren immer wieder Anfragen nach der Zulässigkeit von Fanpages öffentlicher Stellen bei Facebook. Problematisch dabei ist unter anderem, dass die Plattform auch Daten der Besucher öffentlicher Fanpages in einem Maß verarbeitet, das weit über das bereits nach bestehendem Datenschutzrecht Zulässige hinausgeht. Nach Auffassung der Datenschutzbehörden der Länder trifft den hiesigen Betreiber einer solchen Fanpage die Mitverantwortung für das Schicksal der Daten seiner Besucher. Ob diese Auffassung zutrifft, klärt derzeit der Europäische Gerichtshof; mit einer Entscheidung ist täglich zu rechnen. Für die Zwischenzeit hat die Landesbeauftragte einen vorläufigen Mindeststandard für das Verhalten öffentlicher Stellen auf sozialen Netzwerken definiert (Punkt B 15.3, Seite 161).

Die Nutzung des zum Facebook-Konzern gehörenden Messenger-Dienstes WhatsApp an Schulen war ebenfalls Gegenstand von Anfragen, die Lehrer und Eltern an uns gerichtet haben. Eine Rechtsgrundlage für die dienstliche Kommunikation der Lehrkräfte mit den Schülern über das genannte Angebot existiert nicht. Zudem wäre eine ersatzweise erteilte Einwilligung in die Datenverarbeitung in der Regel nicht freiwillig. Im Ergebnis halten wir den Einsatz von WhatsApp an Schulen deshalb für unzulässig (Punkt B 13.1.2, Seite 149).

Hotels und Pensionen, die auf ihren Internetseiten Kontakt- oder Buchungsformulare anbieten, müssen hierfür eine dem Stand der Technik entsprechende Verschlüsselung einsetzen, schließlich übertragen sie auf diesem Wege personenbezogene Daten ihrer Gäste über das Internet. Bei einer Überprüfung ausgewählter Webseiten stellte die Landesbeauftragte fest, dass 80 Prozent der entsprechenden Anbieter die Formulardaten unverschlüsselt, also im Klartext lesbar, übertragen. Fast die Hälfte der verbleibenden Anbieter nutzt zwar eine Verschlüsselung, dennoch treten Sicherheitsprobleme auf (Punkt B 15.5, Seite 166).

Eine Wetter-Webcam kann durchaus nützlich sein. Wer damit allerdings ein Wohngebiet mit Straßen, Gehwegen und Nachbargrundstücken und allen sich dort aufhaltenden Personen beobachtet und die Bilder über das Internet verbreitet, betreibt eine unzulässige Videoüberwachung. In einem solchen Fall hat die Landesbeauftragte dem Betreiber zunächst auf dem Wege einer Anordnung aufgegeben, die Erfassung von Personen durch eine geänderte Kameraeinstellung zu unterlassen. Da er dieser Anordnung nicht nachkam, haben wir ein Vollstreckungsverfahren eingeleitet, um den Betreiber mithilfe eines Zwangsgeldes zu einem rechtskonformen Handeln zu bewegen (Punkt B 17.2, Seite 172).

Ein Unternehmer installierte Videokameras in Büroräumen sowie auf einem Parkplatz und rief die Bilder über sein Mobiltelefon ab. Auch eine Speicherung war möglich. Während die Beschäftigten, aber auch Parkplatznutzer und Kunden, durch den permanenten Überwachungsdruck in ihren Persönlichkeitsrechten massiv beeinträchtigt waren, begründete der Betreiber sein Vorgehen mit dem Schutz vor denkbaren Straftaten sowie anderen „Eventualitäten“, ohne hierfür irgendeinen konkreten Anlass benennen zu können. Nachdem wir dem Unternehmer die Rechtslage erläutert haben – die Interessen der Betroffenen überwogen eindeutig sein Überwachungsinteresse – baute er die Kameras ab (Punkt B 17.3, Seite 173).

Ein Arbeitgeber gewährte allen Mitarbeitern Zugriff auf die elektronischen Zeiterfassungsdaten und Abwesenheitsgründe der Kollegen. Ein anderer präsentierte die Abwesenheiten und Krankenstände der Mitarbeiter im öffentlich zugänglichen Flur des Gebäudes. In beiden Fällen war die Rechtslage klar: Ein öffentlicher Aushang ebenso wie derart umfassende Zugriffsrechte entbehren jeder Rechtsgrundlage; die Mitarbeiter müssen allenfalls über die Abwesenheiten der Kollegen informiert sein, um die Arbeitsabläufe entsprechend anpassen zu können, nicht aber über die Gründe hierfür. Die Arbeitgeber haben die aufgezeigten Mängel schließlich behoben (Punkt B 5.3, Seite 85).

Dass kleine Ursachen große Wirkungen entfalten können, erfahren Bürger oder Verbraucher immer wieder in Fällen von Personenverwechslungen. So forderte ein Energieversorger über seinen Rechtsanwalt von einem Beschwerdeführer völlig überraschend 800 Euro. Ein Auskunftsersuchen des Betroffenen resultierte sogar noch in einer Erhöhung des geforderten Betrags. Erst nachdem die Landesbeauftragte sich eingeschaltet hat, stellte sich heraus, dass der eigentliche Schuldner nicht mehr zu erreichen war und die Kanzlei den falschen Adressaten über einen Adresshändler ausfindig gemacht hatte. Im Ergebnis konnten wir zwar erreichen, dass der Fehler korrigiert wurde, für den Betroffenen wuchs sich jedoch schon die Ausübung seines datenschutzrechtlichen Auskunftsanspruchs zu einer wahren Odyssee aus (Punkt B 18.3, Seite 179).

Um den Aufwand bei regelmäßiger Bestellung eines Rufbusses zu reduzieren, hatte ein Verkehrsunternehmen Fahrdaten auch nach dem Transport nicht gelöscht, sondern bei einer erneuten Bestellung den Kunden gefragt, ob er denn wieder an denselben Ort fahren wolle wie beim letzten Mal. Dem Unternehmen wäre es durch die dauerhafte Speicherung dieser Angaben möglich gewesen, Bewegungsprofile seiner Rufbus-Kunden zu erstellen. Hier konnten wir erreichen, dass Fahr- und Kundendaten künftig getrennt werden und Angaben zu den Fahrten nur mit Einwilligung der Kunden aufbewahrt werden (Punkt B 4.1, Seite 77).

In den insgesamt 54 Ordnungswidrigkeitenverfahren, welche die Landesbeauftragte in den beiden zurückliegenden Jahren durchgeführt hat, haben wir in 21 Fällen ein Bußgeld verhängt und in fünf Fällen eine Verwarnung ausgesprochen. Die Summe der verhängten Bußgelder betrug 28.970 Euro. Sanktioniert hat die Landesbeauftragte beispielsweise die unsachgemäße Entsorgung von Datenmüll. So fanden sich nur grob zerkleinerte Arztrezepte und andere Unterlagen mit Patientendaten in der Abfalltonne des Nachbarn einer aufgegebenen Arztpraxis. Auch unbefugte Datenabrufe in der öffentlichen Verwaltung waren wieder ein Thema: Ein Bürgermeister nutzte seine Stellung als Vorgesetzter aus und wies seine ihm unterstellte Mitarbeiterin an, die Namen von Kraftfahrzeughaltern zu ermitteln und ihm vorzulegen. Einen dienstlichen Anlass hierfür gab es nicht; es handelte sich vielmehr um rein private Motive. Zur Anbahnung eines persönlichen Kontakts verwendete ein Polizeibeamter die private Telefonnummer einer Zeugin, welche diese für weitere Nachfragen zum Sachverhalt zur Verfügung gestellt hatte. Bußgelder mussten auch erlassen werden, da die verantwortlichen Stellen den Betroffenen keine Auskunft über die zu ihrer Person gespeicherten Daten erteilen (Punkt B 21.1, Seite 185).

Zwar schienen Akteneinsicht und Informationszugang angesichts der umfassenden Änderungen des Datenschutzrechts in letzter Zeit ein wenig in dessen Aufmerksamkeitsschatten zu stehen. Dennoch beschäftigt uns dieses Thema weiterhin intensiv:

Für unsere tägliche Beratungspraxis und Beschwerdebearbeitung stellt der Zugang zu Umweltinformationen inzwischen eine kaum mehr zu bewältigende Herausforderung dar. Wer den Zugang zu Umweltinformationen beantragt, tut dies auf der Grundlage des Umweltinformationsgesetzes. Dieses Spezialgesetz verdrängt das allgemeinere Akteneinsichts- und Informationszugangsgesetz. Auf dem Gebiet des Umweltinformationsrechts kann sich die Landesbeauftragte für das Recht auf Akteneinsicht aber weder dafür einsetzen, dass Antragsteller ihre Informationen erhalten, noch kann sie Behörden beraten. Ihr sind die Hände nicht nur gebunden, wenn es um Informationen aus der klassischen Umweltverwaltung geht. Auch für viele Sachverhalte aus Bauangelegenheiten, aus Stadt-, Raum- oder Verkehrsplanung oder auch aus Land- und Forstwirtschaft gilt ausschließlich das Umweltinformationsgesetz. Grund hierfür ist eine – nicht zuletzt aufgrund der Rechtsprechung des Bundesverwaltungsgerichts – stetige Ausweitung des Begriffs der Umweltinformationen. Unsere Empfehlung, die beiden Anspruchsgrundlagen einfach zusammenzuführen, stieß bei der Landesregierung in der Vergangenheit auf taube Ohren. Im Berichtszeitraum haben die Informationsfreiheitsbeauftragten in Deutschland die Ausweitung der Kompetenz der Landesbeauftragten auf das Umweltinformationsrecht gefordert (Punkt C 9, Seite 219). Dagmar Hartge:

Antragsteller interessieren sich am häufigsten für Fragen, die ihr persönliches Umfeld – beispielsweise am Wohnort – betreffen. Gerade dabei handelt es sich oft um Umweltinformationen, die dem Akteneinsichts- und Informationszugangsgesetz entzogen sind. In Konfliktfällen darf ich dann weder Antragsteller unterstützen noch Behörden beraten. Hier ist eine gesetzgeberische Lösung gefragt, damit auch auf dem Gebiet des Umweltinformationsrechts eine bürgernahe Vermittlung durch meine Behörde erfolgen kann.

Eine Stadtverwaltung sparte in ihrer Begründung, weshalb sie Informationen zur Übertragung städtischer Anlagen an einen Zweckverband geheim hielt, nicht an Ausnahmetatbeständen, die das Akteneinsichts- und Informationszugangsgesetz zwar enthält, die aber in keiner Weise auf den Sachverhalt passten. Uns gegenüber nannte sie später jedoch ganz andere Gründe. Außerdem bezog sie sich durchgängig auf Protokolle der Stadtverordnetenversammlung, während die Antragstellerin uns mitteilte, Verwaltungsvorgänge beantragt zu haben. Die Stadt, die unsere Fragen äußerst zögerlich beantwortete, legte sogar eine Empfehlung der Kommunalaufsicht vor, nach der die – gar nicht beantragten – Protokolle nicht herauszugeben seien. Die Landesbeauftragte sprach eine förmliche Beanstandung gleich mehrerer Verstöße gegen das Akteneinsichts- und Informationszugangsgesetz aus (Punkt C 5, Seite 212).

Auch eine andere Stadtverwaltung handelte nach dem Motto „viel hilft viel“ und fuhr zur Abwehr eines Informationsanspruchs fast sämtliche Ablehnungsgründe des Gesetzes auf und ging sogar darüber hinaus. Dabei wollte der Antragsteller lediglich nicht ausgefüllte Ausschreibungsunterlagen für die Errichtung einer Brücke sehen, die den Bauunternehmen zum Zweck der Angebotsabgabe zur Verfügung gestellt worden waren. Während des gesamten Verfahrens blieb völlig offen, worin der Geheimhaltungsbedarf bestehen sollte. In ihrer Beanstandung empfahl die Landesbeauftragte eine Neubescheidung und bat die Stadtverwaltung um eine Stellungnahme. Die Stadtverwaltung bestand jedoch auf der Rechtmäßigkeit ihres Vorgehens (Punkt C 3, Seite 207). Dagmar Hartge:

Mit einer Beanstandung unrechtmäßiger Informationsverweigerung sind meine Möglichkeiten, einen Antragsteller zu unterstützen ausgeschöpft. Gegen eine fortgesetzte Blockadehaltung einiger weniger öffentlicher Stellen kann ich in solchen Fällen zwar nichts mehr ausrichten. Allerdings zeigt die Praxis, dass eine Beanstandung zu einem Umdenken der Verantwortlichen führen kann und die Rechtslage in künftigen Fällen oft besser beachtet wird.

Dass robuste Blockaden aber nicht der Regelfall sind, zeigt sich am Beispiel kommunaler Jobcenter. Nutzer der Internet-Plattform www.fragdenstaat.de beantragten dort die Herausgabe von Weisungen und Arbeitshilfen der Jobcenter. Zumeist wurden solche Anfragen erst nach unserer Intervention beantwortet. Zudem verlangten einige Jobcenter hohe Gebühren oder hatten Bedenken, Dokumente herauszugeben, weil sie befürchteten, veraltete Versionen, die in der Öffentlichkeit kursieren, könnten zu Missverständnissen führen. Erfreulicherweise sind viele Jobcenter unserer Empfehlung gefolgt, Weisungen und Arbeitshilfen in ihren Internetangeboten zu veröffentlichen. Dies erspart den Antragstellern die Gebühren, den Behörden die Bearbeitung von Anträgen und stellt zugleich sicher, dass stets die aktuelle Version der Dokumente zugänglich ist (Punkt C 7, Seite 216).

 

Verantwortlich: Sven Müller

Auswahl

Jahr
Rubrik