Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2023

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, der Vizepräsidentin des Landtages Brandenburg, Frau Barbara Richstein, den Tätigkeitsbericht zum Datenschutz für das Jahr 2023.

Die Datenschutzbeauftragte befasste sich angesichts der zu erwartenden europäischen KI-Verordnung ausführlich mit Fragen der Künstlichen Intelligenz (A I 1.1, Seite 13). Zunächst traten wir mit einer Umfrage an ausgewählte brandenburgische Unternehmen heran. Ziel war es, die Verantwortlichen für einen datenschutzkonformen Umgang mit KI-Systemen zu sensibilisieren. Im Ergebnis stellten wir zwar fest, dass die kontaktierten Unternehmen noch keine personenbezogenen Daten mittels KI verarbeiten, dies jedoch für die Zukunft nicht ausschlossen. Eine Umfrage der Landesbeauftragten bei den kommunalen Spitzenverbänden ergab, dass es dort lediglich erste Pilotprojekte gibt – etwa zur Verwendung von Chatbots in der Kommunikation mit Bürgerinnen und Bürgern. Außerdem konnte unsere Behörde wesentliche datenschutzrechtliche Aspekte in die Diskussion einer Landesstrategie zur künstlichen Intelligenz einbringen.

Unter brandenburgischer Beteiligung forderten die europäischen und deutschen Datenschutzaufsichtsbehörden das Unternehmen OpenAI auf, einzelne Fragen zu seinem Produkt ChatGPT zu beantworten (A I 1.2, Seite 17). Zwar ist die Auswertung der Antworten noch nicht abgeschlossen, doch zeigt sich, vor welchen Herausforderungen generative KI-Systeme in Bezug auf den Datenschutz stehen. Beispielsweise müssen sie „trainiert“ werden – mit Daten, die durchaus auch einen Personenbezug aufweisen können. Personenbezogene Bewertungen der generierten Texte fließen zudem in die Weiterentwicklung der Systeme ein. Auch stellt sich die Frage, wie transparent die Datenverarbeitung gestaltet ist und wie ChatGPT mit den Daten Minderjähriger umgeht. Dagmar Hartge:

Künstliche Intelligenz bietet große Chancen, stellt Unternehmen und Verwaltungen aber auch vor enorme Herausforderungen. Wer sie einsetzt, muss die Risiken der Datenverarbeitung einschätzen können und darüber informieren, wie personenbezogene Daten verarbeitet werden. Das wiederum setzt voraus, dass die eingesetzten Produkte ihrerseits transparent und datenschutzgerecht gestaltet sind.

Inzwischen ist es ein Dauerbrenner: der Streit um die Vereinbarkeit des Betriebs von Facebook-Fanpages durch öffentliche Stellen mit dem Datenschutzrecht (A I 3, Seite 37). In enger Abstimmung mit anderen Aufsichtsbehörden führte die Landesbeauftragte in einem Musterverfahren eine Anhörung der Staatskanzlei des Landes Brandenburg durch. Ziel war eine Unterlassungsverfügung, also die Weisung an die Landesregierung, Facebook-Fanpages abzuschalten. Zwischenzeitlich hatte der Europäische Gerichtshof die Argumente der Datenschutzaufsichtsbehörden zusätzlich noch gestützt: Er sah außerhalb einer wirksamen Einwilligung der Besucherinnen bzw. Besucher keine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten beim Betrieb von Fanpages. Zudem erschwerte das Urteil die von Facebook versuchte Umgehung von Datenschutzrechten betroffener Personen. Erst reagierte der Mutterkonzern Meta auf dieses Urteil, indem er neben dem werbefinanzierten Angebot noch ein werbefreies Bezahlabonnement anbot. Zum Jahresende änderte Meta zusätzlich seine Cookie-Richtlinie und informiert seitdem konkret über die Verarbeitung personenbezogener Nutzerdaten beim Einsatz von Cookies auf Fanpages. Da sich unsere Anhörung maßgeblich auf diesen Aspekt gestützt hatte, entschied die Landesbeauftragte, das Verfahren bis zur Analyse der neuen Richtlinie auszusetzen.

Im vergangenen Jahr verhängte die Bußgeldstelle der Landesbeauftragten in 10 Fällen ein Bußgeld wegen festgestellter datenschutzrechtlicher Verstöße. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 13.900 Euro (A VI 5.2, Seite 115).

Das höchste Bußgeld verhängte die Landesbeauftragte gegen ein Lebensmittelgeschäft, dessen Geschäftsführer im Pausenraum eine Tabelle mit den Krankheitstagen der namentlich genannten Beschäftigten aufgehängt hatte (A II 6.1, Seite 55). Zu entnehmen war ihr, welche Mitarbeiterinnen und Mitarbeiter aufgrund eigener Krankheit oder einer Erkrankung des Kindes nicht zur Arbeit hatten erscheinen können bzw. wer sich zum Ende einer Erkrankung im sogenannten Hamburger Modell befunden hatte. Von diesen Angaben waren 40 Beschäftigte betroffen. Die Tabelle hing vier Wochen aus. Neben den Beschäftigten hatten auch Dritte, z. B. Lieferdienste, Zugang zu den Daten. Die Offenlegung der Gesundheitsdaten sollte, so der Geschäftsführer, vor dem Hintergrund der schlechten wirtschaftlichen Lage des Unternehmens verdeutlichen, dass ein hoher Krankenstand dem Unternehmen schade. Ein legitimer Zweck war dies nicht; der Verstoß gegen das Datenschutzrecht war vielmehr offensichtlich.

Im vergangenen Jahr erhielten wir auffällig viele Meldungen über unbefugte Datenabfragen in Krankenhäusern (A II 6.2, Seite 56). In zwei Fällen verhängte die Landesbeauftragte ein Bußgeld gegen Beschäftigte, die sich aus reiner Neugier und ohne dienstlichen Grund für den Krankheitsverlauf ihrer Kolleginnen interessierten. Durch die Zugriffe wurden besonders geschützte Gesundheitsdaten der betroffenen Mitarbeiterinnen offenbart: Arztbriefe, Laborergebnisse sowie Berichte über Behandlungen oder Operationen. Solche Verstöße sind in hohem Maß geeignet, das Vertrauen in die Rechtmäßigkeit des Umgangs mit Gesundheitsdaten in Krankenhäusern zu beeinträchtigen, und waren deshalb zu sanktionieren.

Im Vergleich zum Vorjahr hat sich die Zahl der Datenschutzbeschwerden (A VI 1, Seite 107) auf hohem Niveau stabilisiert – 2022: 1.379 Beschwerden, 2023: 1.336 Beschwerden. Beschwerden über Videoüberwachung stellten einen zunehmenden Anteil an der Gesamtzahl der Beschwerden dar – 2022: 264 Beschwerden, 2023: 365 Beschwerden (A VI 3, Seite 108). Die teilweise intensiven und auch in Fällen umfangreicher Videoüberwachung stets auf die einzelnen Kameras ausgerichteten Prüfungen steigen bereits über viele Jahre kontinuierlich an und binden die personellen Kapazitäten der Landesbeauftragten in erheblichem Maße.

Unsere Behörde bearbeitete gleich mehrere Beschwerden über Videokameras in Ferienwohnanlagen (A II 2, Seite 43). In einem Fall kassierte der Verantwortliche eine Verwarnung. Zwar erfassten seine Kameras keine Innenräume der Wohnungen, sehr wohl aber gemeinschaftlich genutzte Bereiche. Er nannte gleich ein ganzes Potpourri an Gründen – von der Wahrnehmung des Hausrechts über den Eigentumsschutz bis hin zur Vorbeugung gegen Lärmbelästigung. Eine Erforderlichkeit für den Kameraeinsatz bestand jedoch nicht. Für alle angegebenen Zwecke wären mildere, weniger eingriffsintensive Maßnahmen möglich gewesen. Das Interesse der Feriengäste, sich unbeobachtet – und beispielsweise am Pool auch leicht bekleidet – zu entspannen, überwog zudem das Interesse des Vermieters an der Videoüberwachung.

Wer in Potsdam einen Antrag auf Parkerleichterung für Personen mit einer Schwerbehinderung stellen wollte, erlebte im vergangenen Jahr ein blaues Wunder (A II 5, Seite 52). Sowohl durch Medienberichte als auch durch Beschwerden betroffener Personen wurden wir darauf aufmerksam, dass die städtische Fahrerlaubnisbehörde solche Anlässe umfangreich nutzte, um die Fahreignung der Antragstellerinnen und Antragsteller zu überprüfen. Erstaunlich war dies schon allein deshalb, weil eine gesetzliche Zuständigkeit der Fahrerlaubnisbehörde für Anträge auf Parkerleichterung gar nicht besteht; zuständig ist die untere Straßenverkehrsbehörde. Somit fehlte auch die Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Zudem unterstellte die Behörde die mangelnde Fahreignung pauschal und forderte umfassende gesundheitliche Gutachten an – nur, weil die Betroffenen einen Schwerbehindertenausweis hatten. Ähnlich ging die Landeshauptstadt Potsdam bei dem eigentlich rein formalen Umtausch des alten Führerscheins in einen neuen EU-Kartenführerschein vor. Mehrere Verfahren führten zu einem Entzug der Fahrerlaubnis oder bewirkten einen freiwilligen Verzicht. Vor dem Hintergrund des besonderen Schutzbedarfs der Gesundheitsdaten hat die Landesbeauftragte gegenüber der Stadtverwaltung im Ergebnis eine Verwarnung ausgesprochen. Dagmar Hartge:

Natürlich muss die Stadtverwaltung die Fahreignung von Fahrerlaubnisinhaberinnen und -inhabern prüfen, wenn konkrete Tatsachen vorliegen, die eine Verkehrsgefährdung beim Führen eines Kraftfahrzeugs erwarten lassen. Dass jemand einen Schwerbehindertenausweis besitzt, ist jedoch definitiv keine solche Tatsache. Ich erwarte, dass die Landeshauptstadt Potsdam die richtigen Konsequenzen aus der unzulässigen und diskriminierenden Verarbeitung von Gesundheitsdaten zieht und das Verfahren grundlegend ändert.

Neben der Bearbeitung individueller Beschwerden über den Einsatz von Cookies auf Webseiten wählten wir etwa 50 Webpräsenzen für eine anlassunabhängige Prüfung aus (A III 2, Seite 64). In der Regel handelte es sich um Seiten, die für touristische Angebote, Sehenswürdigkeiten und Freizeitaktivitäten in Brandenburg werben. Uns hat interessiert, wie dort Cookies bzw. Drittdienste eingebunden wurden, ob die Nutzerinnen und Nutzer korrekt hierüber informiert wurden und ob sie die Möglichkeit hatten, rechtskonform in die Nutzung ihrer personenbezogenen Daten einzuwilligen. Bei knapp der Hälfte der geprüften Webseiten stellten wir erfreulicherweise keine Mängel fest. Die übrigen Befunde reichten von unzureichenden Datenschutzerklärungen über die fragwürdige Gestaltung des Cookie-Banners bis zum nicht datenschutzgerechten Einsatz von Analysesoftware. Im Ergebnis haben wir die jeweiligen Verantwortlichen über die datenschutzrechtlichen Anforderungen informiert und sie aufgefordert, die Mängel zu beseitigen.

Einen erneuten Angriff auf die IT-Infrastruktur der Landeshauptstadt Potsdam im Dezember 2022 nahm die Landesbeauftragte zum Anlass, zu überprüfen, ob die Stadtverwaltung aus dem vorangegangenen Vorfall die richtigen Konsequenzen gezogen hatte (A III 3, Seite 67). Wir forderten die einschlägigen Dokumentationen an – mit ernüchterndem Ergebnis. Unter anderem fehlte ein gültiges Datenschutz- und Informationssicherheitskonzept. Ein solches Konzept dokumentiert geeignete und angemessene technische und organisatorische Maßnahmen, um die Risiken der Verarbeitung personenbezogener Daten für die Betroffenen zu minimieren. Es handelt sich also keineswegs um eine Formsache, sondern um ein wesentliches Instrument des Datenschutzes und der IT-Sicherheit. Gleiches gilt für das Verzeichnis der Verarbeitungstätigkeiten. Zeitpläne und Fristen, welche die Stadtverwaltung sich selbst gesetzt hatte, um uns über den Fortschritt der Erstellung dieser Dokumentationen zu informieren, hielt sie nicht ein. Letztlich waren auch die Verantwortlichkeiten innerhalb der Behörde ungeklärt. Bis zum heutigen Tag hat sie gesetzlich geforderte Unterlagen nicht vorgelegt. Die Landesbeauftragte hat mittlerweile eine Verwarnung ausgesprochen, bleibt mit der Stadtverwaltung aber im Austausch, bis die erforderlichen Nachweise vollständig vorliegen. Dagmar Hartge:

An den andauernden Versäumnissen gibt es nichts zu beschönigen: Die IT-Sicherheitsvorfälle in der Potsdamer Stadtverwaltung verdeutlichen, wie dringend sie ein systematisches IT-Sicherheitsmanagement benötigt. Diesen Herausforderungen muss sich die Landeshauptstadt endlich stellen. Dass sowohl die IT-Sicherheit als auch der Datenschutz wichtige Führungsaufgaben sind, darf keine bloße Floskel bleiben.

Im Frühjahr vergangenen Jahres schlug das Datenleck bei einem Fahrzeughersteller in der Medienberichterstattung hohe Wellen (A IV 1, Seite 71). Ein Hinweisgeber hatte uns umfangreiche Dateien zur Verfügung gestellt, die unter anderem sensible Personaldaten beinhalteten. Der umfangreiche Datenbestand sei für nicht zuständige Beschäftigte abrufbar gewesen; er enthielt Angaben zu Mitarbeiterinnen und Mitarbeitern des Konzerns aus Deutschland, anderen Mitgliedstaaten der Europäischen Union und darüber hinaus. Die Authentizität der Daten vorausgesetzt, handelte es sich eindeutig um eine grenzüberschreitende Verarbeitung personenbezogener Daten. Die Datenschutz-Grundverordnung sieht für solche Fälle vor, dass die Aufsichtsbehörde am europäischen Hauptsitz des Unternehmens die Federführung bei der Bearbeitung innehat. Sie arbeitet mit anderen Datenschutzaufsichtsbehörden in der Europäischen Union zusammen, um eine einheitliche datenschutzrechtliche Bewertung vorzunehmen. Aufgrund des europäischen Hauptsitzes des Unternehmens in den Niederlanden übernahmen unsere Kolleginnen und Kollegen in Den Haag die weiteren Ermittlungen. Das Unternehmen meldete den Fall zwischenzeitlich als Datenschutzverletzung, informierte die betroffenen Beschäftigten und offerierte seine Unterstützung, um einen möglichen Identitätsmissbrauch zu verhindern. Die Auswertung durch die nunmehr zuständige niederländische Datenschutzaufsichtsbehörde ist noch nicht abgeschlossen. Bei der datenschutzrechtlichen Bewertung des Ergebnisses wird sich die Landesbeauftragte im Rahmen des europäischen Verfahrens einbringen.

Ein Unternehmen fiel einem Ransomware-Angriff (A IV 3, Seite 76) zum Opfer. Es meldete uns den Vorfall als Datenschutzverletzung. Sein gesamtes IT-System war durch das Schadprogramm verschlüsselt und das letzte Backup der Daten gelöscht worden. Zudem verzeichnete es einen enormen Datenabfluss. Vom Vorfall betroffen waren die personenbezogenen Daten der Beschäftigten, der Kundinnen und Kunden sowie der Aktionärinnen und Aktionäre. Später teilte uns das Unternehmen jedoch mit, dass von ihm getroffene Sicherheitsmaßnahmen bewirkt hätten, dass personenbezogene Daten doch nicht von allen Servern abgeflossen seien. Den genauen Hergang konnten wir nicht mehr nachvollziehen und beließen es daher bei Hinweisen zu technischen und organisatorischen Maßnahmen. Eine Prüfung der IT-Systeme vor Ort behält sich die Landesbeauftragte vor.

Immer wieder ist der Verlust personenbezogener Daten bei Transport und Aufbewahrung zu beklagen. Besonders kritisch wird die Sache vor allem, wenn es um Gesundheitsdaten geht (A IV 4, Seite 78). Dazu erhielten wir im vergangenen Jahr eine Reihe von Meldungen über Datenschutzverletzungen: Beispielsweise vergaß eine Mitarbeiterin eines ambulanten Pflegedienstes ihren Rucksack mit den Leistungsnachweisen zur Pflegetätigkeit an der Straßenbahnhaltestelle. Eine Psychotherapeutin ließ eine Patientenakte in einem Nahverkehrsbus liegen. Schließlich kam der USB-Stick eines Vereins zur Betreuung von Wohngruppen für Menschen mit Behinderung abhanden. Darauf waren Datensätze zu Bewohnerinnen und Bewohnern mit der für das Sozialamt erstellten Beschreibung ihrer Entwicklung gespeichert. Diese Fälle zeigen, dass der sorgsame Umgang mit Gesundheitsdaten von grundlegender Bedeutung für den Datenschutz ist. Die Sensibilisierung der Beschäftigten, eine Verschlüsselung der Daten sowie – im Rahmen der Meldung der entstandenen Datenschutzverletzung – die Information der betroffenen Personen sind unverzichtbar. 

Immer wieder bietet die E-Mail-Kommunikation der Verwaltungen und Unternehmen Anlässe, die Verantwortlichen für den sicheren und datenschutzgerechten Einsatz dieses Kommunikationsmittels zu sensibilisieren (A V 1, Seite 87). Sie müssen die Risiken, die sich bei dem Transport und der Weiterverarbeitung von E-Mails ergeben, durch geeignete und angemessene technische und organisatorische Maßnahmen mindern. Werden gezielt personenbezogene Daten ausgetauscht, bietet die Transportverschlüsselung einen ausreichenden Basisschutz gegen passives Belauschen des Datenverkehrs. Für Nachrichten, die sensible Daten enthalten, bedarf es entsprechend dem Risiko für die betroffenen Personen neben einer qualifizierten Transportverschlüsselung zusätzlich einer Ende-zu-Ende-Verschlüsselung. Im Falle eines hohen Risikos sind speziell gesicherte kryptografische Verfahren zu verwenden. Entscheidend ist, dass diese Sicherheitsmaßnahmen auf beiden Seiten getroffen werden, also sowohl beim Versand als auch beim Empfang der E-Mails. Dies wird allerdings oft zu wenig beachtet. Unsere Erfahrung sowie Beschwerden auf diesem Gebiet nutzen wir, um die Umsetzung angemessener Maßnahmen zum Schutz der E-Mail-Kommunikation gerade im Falle sensibler Daten einzufordern.

Das Gesetz zur Verhinderung von Gewalt gegen Frauen und häuslicher Gewalt setzt die sogenannte Istanbul-Konvention des Europarats um (B 1, Seite 121). Dadurch erhält die Polizei neue Befugnisse, potenzielle Opfer häuslicher Gewalt zu schützen. Im Gesetzgebungsprozess hat die Landesbeauftragte ausführlich Stellung genommen. Für die Einführung der sehr eingriffsintensiven elektronischen Aufenthaltsüberwachung (elektronische Fußfessel) – eine Kernregelung des Gesetzes in „Hochrisikofällen“ – fehlten uns Nachweise, dass diese Maßnahme das Risiko erneuter Straftaten überhaupt wirksam mindert. In diesem Zusammenhang kritisierten wir zudem die aus unserer Sicht viel zu offen formulierten Voraussetzungen für die elektronische Aufenthaltsüberwachung. Dagmar Hartge:

Die elektronische Fußfessel gab es bislang nur für verurteilte Straftäterinnen und Straftäter. Dass sie nun auch auf Verdachtsfälle ausgeweitet wird, ist allein schon kritikwürdig. Hier lässt sich kaum eine solide Gefahrenprognose abgeben. Zudem halte ich es für unrealistisch anzunehmen, dass die elektronische Aufenthaltsüberwachung Gewalttaten gegen Frauen verhindert.

Zur Erfüllung ihrer Aufgaben auf dem Gebiet der Strafverfolgung und Gefahrenabwehr führt die Polizei Kriminalakten zu einzelnen Personen – zu Verdächtigen, Beschuldigten eines Ermittlungsverfahrens oder Verurteilten, aber auch zu gesuchten, vermissten oder gefährdeten Personen. Die Landesbeauftragte führte im vergangenen Jahr eine stichprobenartige Kontrolle personengebundener und ermittlungsunterstützender Hinweise in den Kriminalakten durch (B 4, Seite 130). Dabei stellte sie gravierende Dokumentationsmängel fest, beispielsweise fehlten häufig die Abwägungen, die Rückschlüsse auf die Gründe der Dateneintragungen zugelassen hätten. Positiv stellten wir fest, dass die Aussonderungsprüffristen überwiegend auf den Einzelfall abgestimmt waren.

In einem Beschwerdefall stellte sich heraus, dass der Zentraldienst der Polizei im Zusammenhang mit der Verfolgung einer Geschwindigkeitsübertretung das komplette Ergebnis des Abrufs personenbezogener Daten aus der Elektronischen Einwohnerakte gespeichert hatte (B 5, Seite 134). Die aus technischen Gründen beim Abruf stets mit übermittelten, jedoch nicht relevanten personenbezogenen Daten – in diesem Fall ging es um die alte Wohnanschrift der Ehefrau des Beschwerdeführers sowie dessen Waffenerlaubnis – dürfen jedoch nicht in die Verfahrensakte aufgenommen werden. Das Polizeipräsidium hat den Fall zum Anlass genommen, die Beschäftigten zu sensibilisieren. Die Anforderungen an die Dokumentation sollen künftig fester Bestandteil der dienstlichen Belehrung sein.