Landesbeauftragte veröffentlicht Tätigkeitsbericht Datenschutz 2025

Heute überreicht die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht, Dagmar Hartge, der Präsidentin des Landtages Brandenburg, Frau Prof. Dr. Ulrike Liedtke, den Tätigkeitsbericht zum Datenschutz für das Jahr 2025.

Nachdem wir im vergangenen Jahr über die ersten Regelungen und Handreichungen zum Einsatz sowie über die Strategie der Landesregierung zur Künstlichen Intelligenz (KI) berichtet haben, steht im aktuellen Tätigkeitsbericht die Praxis im Vordergrund. Dagmar Hartge:

„Beim Einsatz Künstlicher Intelligenz werden in den meisten Fällen auch personenbezogene Daten verarbeitet. Der Datenschutz und die Minimierung KI-spezifischer Risiken wie Halluzinationen, Voreingenommenheit (Bias) oder Diskriminierung müssen bereits in der Planungsphase mitgedacht werden. Öffentlichen Stellen im Land Brandenburg biete ich deshalb eine frühzeitige Begleitung und Beratung neuer KI-Projekte an.“

Beispielsweise hat sich die Landesbeauftragte mit der Einführung eines KI-Assistenztools in der Landesverwaltung (A I 1, Seite 12) beschäftigt. Zweck dieses Instruments ist die Entlastung der Beschäftigten, die Beschleunigung von Verfahrensabläufen und die Erhöhung der Effizienz der Verwaltungstätigkeit. Es soll beispielsweise Texte mithilfe von KI erstellen, korrigieren oder verbessern sowie deren Inhalte zusammenfassen. Zu dem ursprünglichen Vorhaben, ein geschlossenes und abgeschottetes System zu betreiben, haben wir ausführlich Stellung genommen und im Ergebnis erhebliche Defizite den Datenschutz betreffend festgestellt. Die ursprüngliche Planung, das KI-Assistenztool bereits Ende 2025 einzuführen, gab die Landesregierung jedoch auf, um mehr Zeit für die Vorbereitung zu gewinnen. Stattdessen soll zunächst das bereits in anderen Bundesländern genutzte KI-Assistenzsystem LLMoin bereitgestellt werden.

Ein weiteres Beispiel für unsere Beratung zum Thema Künstliche Intelligenz ist der Einsatz des Chatbots „telli“ an Schulen (A I 2, Seite 16). Dabei handelt es sich um ein elektronisches Dialogsystem, welches ein natürliches Gegenüber imitiert. Der Chatbot ist ein länderübergreifendes Projekt und in Brandenburg inzwischen flächendeckend einsetzbar. Lehrkräfte greifen darauf über das Schulportal zu und können ihn sowohl für die Vorbereitung als auch direkt im Unterricht einsetzen. An der Bereitstellung arbeitet das Bildungsministerium gemeinsam mit einem externen Institut. Letzteres betreibt die KI-Plattform für die einzelnen Schulen. Diese wiederum sind für die Nutzung von „telli“ datenschutzrechtlich selbst verantwortlich. Auch wenn wir von der Einführung des Projekts zunächst nur aus der Presse erfuhren und es deshalb erst spät begleiten konnten, haben wir auf die erforderliche Berücksichtigung datenschutzrechtlicher Anforderungen hinweisen können. Das betraf unter anderem die Rechtsgrundlage, die Erforderlichkeit einzelner Datenverarbeitungen und die Informationspflichten gegenüber den betroffenen Personen. Insbesondere mahnten wir die Überarbeitung der Datenschutz-Folgenabschätzung an, die das externe Institut auch zusagte.

Die Wohngeldstelle der Landeshauptstadt Potsdam testet ein Programm, das mithilfe Künstlicher Intelligenz die Bearbeitung von Wohngeldanträgen (A I 3, Seite 21) beschleunigen soll. Anträge werden automatisiert digital erfasst, Daten extrahiert und geprüft. Zusätzlich soll ein Chatbot Fragen der Beschäftigten rund um das Wohngeldgesetz beantworten. Das Pilotprojekt wird gemeinsam mit der Digitalagentur Brandenburg durchgeführt und vom Ministerium für Infrastruktur und Landesplanung des Landes Brandenburg unterstützt. Das Programm soll später allen brandenburgischen Wohngeldstellen zur Verfügung stehen. Unsere Zusammenarbeit mit den Verantwortlichen und der Digitalagentur in der Beratung verlief durchweg konstruktiv.

Auch im zurückliegenden Berichtszeitraum mussten wir wieder von unseren gesetzlichen Sanktionsbefugnissen Gebrauch machen. In einem Fall war der Verlust sämtlicher Daten bei einer Arztpraxis zu beklagen (A II 4, Seite 47). Deren IT-Systeme waren Opfer eines Cyberangriffs geworden, bei dem Daten von über 8.000 Patientinnen und Patienten zwar nicht abgeflossen, aber verschlüsselt worden waren. Die vorhandenen obligatorischen Sicherheitskopien, deren Speichermedien zum Zeitpunkt des Angriffs parallel an dem angegriffenen IT-System angeschlossen waren, wurden von der Ransomware ebenfalls verschlüsselt – alle Daten waren unwiederbringlich verloren. Wir haben gegenüber der Arztpraxis eine Verwarnung ausgesprochen. Auch im Fall der Videoüberwachung in einem Barbershop nutzte die Landesbeauftragte diese Sanktionsmöglichkeit (A II 6, Seite 52). Dort hatte der Inhaber mit zwei Kameras Plätze zum Bedienen der Kundschaft sowie einzelne Sitzgelegenheiten in den Wartebereichen gefilmt. Er wollte damit Vandalismus vorbeugen; konkrete Vorkommnisse, die Anlass für die Videoüberwachung hätten sein können, hatte es aber nicht gegeben. Zudem standen andere Mittel zur Verfügung, die weit weniger stark in die Rechte der Kundinnen und Kunden sowie der Beschäftigten eingegriffen hätten. Die Videoüberwachung war deshalb unzulässig. Dagmar Hartge:

„Videoüberwachung kommt in den meisten Fällen nur unter sehr engen Voraussetzungen infrage, insbesondere darf kein milderes Mittel zur Verfügung stehen, um den Zweck – beispielsweise den Schutz des Eigentums – zu erreichen. Außerdem geht sie mit zahlreichen Pflichten einher, die von der Interessenabwägung über eine ordentliche Dokumentation des Kameraeinsatzes bis hin zur Beschilderung reichen. Einfach mal eine Kamera zu installieren, weil es die im Baumarkt gerade günstig zu kaufen gibt, ist deshalb nie eine gute Idee.“

Die Bußgeldstelle der Landesbeauftragten verhängte im Jahr 2025 insgesamt 25 Geldbußen gegenüber 9 Verantwortlichen. Die Gesamtsumme der festgesetzten Geldbußen betrug knapp 109.000 Euro (A VI 5.2, Seite 141).

Beispielsweise verhängte die Landesbeauftragte eine Geldbuße gegenüber einer Sozialamtsmitarbeiterin wegen der Veröffentlichung von Sozialdaten in einem sozialen Netzwerk (A II 9.1, Seite 60). Diese hatte zu privaten Zwecken Fotos von sich selbst an ihrem Arbeitsplatz auf einer App hochgeladen. Zum Zeitpunkt der Aufnahme waren auf ihren Monitoren Schreiben geöffnet, die Angaben zum vollständigen Namen einer Leistungsempfängerin, deren Mitgliedschaft in einer Bedarfsgemeinschaft, der Art und Höhe der bezogenen Leistung sowie deren Wohnort in einem Seniorenheim enthielten. Die Sozialamtsmitarbeiterin hat die Geldbuße im mittleren dreistelligen Bereich akzeptiert. Im Fall einer umfangreichen Videoüberwachung auf einem Campingplatz (A II 9.2, Seite 61) setzte die Landesbeauftragte gleich drei Geldbußen fest, deren Summe im oberen vierstelligen Bereich lag. Der Betreiber wirkte bereits im aufsichtsrechtlichen Verfahren sehr zögerlich und allenfalls bruchstückhaft an der Sachverhaltsaufklärung mit, machte falsche Angaben zur Deaktivierung der Kameras und führte trotz wiederholter Aufforderung weder ein Verarbeitungsverzeichnis noch schloss er einen Auftragsverarbeitungsvertrag mit seinem Dienstleister ab. Die Videoüberwachung stellte einen schweren Eingriff in das Persönlichkeitsrecht der Gäste dar, weil ihr Gesamtverhalten beobachtet, wiedergegeben und analysiert werden konnte. Dies erzeugte permanent Druck, sich anzupassen. Der Bußgeldbescheid war zum Ende des Berichtszeitraums noch nicht rechtskräftig.

Das Gesundheitsamt eines Landkreises ignorierte gleich in zwei Fällen, dass die Verarbeitung personenbezogener Daten von Kita-Kindern nur mit Einwilligung der Sorgeberechtigten erlaubt war (A IV 4, Seite 87). So erfuhren wir von einer Mutter, dass das Personal der Einrichtung ohne ihr Wissen und auf Anweisung des Gesundheitsamts von ihrem Kind eine Stuhlprobe genommen hatte. Außerdem erhielten wir eine Meldung, aus der hervorging, dass eine Stadt als Trägerin mehrerer Kindertagesstätten von demselben Gesundheitsamt aufgefordert worden war, personenbezogene Daten der dort betreuten Kinder zum Zweck der Durchführung kinderärztlicher Untersuchungen zu übermitteln. Beide Maßnahmen waren unzulässig; weder waren die Entnahme der Stuhlproben durch das Kitapersonal noch die Datenübermittlung an das Gesundheitsamt durch eine Rechtsvorschrift erlaubt. Die Behörde änderte aufgrund unserer Intervention diese Praxis: Stuhlproben werden künftig durch die Sorgeberechtigten selbst entnommen und der Landkreis erkundigt sich zuerst bei ihnen, ob sie der Untersuchung zustimmen. Zudem gelang in Zusammenarbeit mit dem zuständigen Ministerium eine Sensibilisierung aller Gesundheitsämter für die bestehende Rechtslage.

Mehrere Beschwerden betrafen die Internetbewertung von Arbeitgebern durch ehemalige Beschäftigte (A IV 7, Seite 94). Unternehmen, die auf Bewertungsseiten kritisiert worden waren, wollten die aus ihrer Sicht falschen und rufschädigenden Behauptungen richtigstellen. Sie reagierten deshalb beispielsweise mit der Schilderung der Gründe für verhaltensbedingte Kündigungen der sie kritisierenden ehemaligen Beschäftigten. Während abstrakte Erwiderungen auf kritische Bewertungen datenschutzrechtlich unproblematisch sind, muss dabei aber auf personenbezogene Details verzichtet werden. Im Ergebnis unseres Tätigwerdens änderte ein Unternehmen seine Reaktion auf die Bewertung und verzichtete auf die Veröffentlichung der entsprechenden Daten. Außerdem wurden die unternehmensinternen Prozesse so angepasst, dass eine Wiederholung in ähnlichen Fällen ausgeschlossen ist. Auch die anderen Fälle ließen sich unkompliziert klären.

Wer freut sich nicht über ein Überraschungspaket? An vielen Orten bieten Automaten inzwischen Retourenpakete zum Kauf an, ohne dass vor dem Kauf erkennbar ist, welchen Inhalt sie haben. In einem Fall ließen wir uns in die Geheimnisse der Mystery Box (A IV 10, Seite 100) einweihen. Wir hatten zuvor einen Hinweis erhalten, dass Adressdaten und zum Teil sogar Telefonnummern der ursprünglichen Besteller bzw. Bestellerinnen auf den Rücksendeetiketten der Überraschungspakete nicht ausreichend geschwärzt waren. Dies konnten wir bei einer Kontrolle auch teilweise nachvollziehen. Im Ergebnis wiesen wir den Betreiber des Automaten darauf hin, dass es unzulässig ist, personenbezogene Daten auf diese Weise offenzulegen. Wir haben ihm empfohlen, Schwärzungen solcher Daten auf allen Paketen stets vollständig und irreversibel vorzunehmen.

Bei länderübergreifenden Onlinediensten, die nach dem Einer-für-Alle-Prinzip (EfA) realisiert werden, stellt sich häufig die Frage, wie datenschutzrechtliche Anforderungen im Prozess der Entwicklung und beim Betrieb dieser Dienste umgesetzt werden können. Um hier eine einheitliche Beratung durch die Datenschutzaufsichtsbehörden zu gewährleisten, hat die Datenschutzkonferenz einen standardisierten Prüfprozess für länderübergreifende EfA-Onlinedienste (A V 1.2, Seite 105) erarbeitet, den wir für unsere Beratungen künftig einsetzen werden. Diese strukturierte Handlungsanleitung orientiert sich an den in der Praxis üblichen Prozessschritten und enthält neben den datenschutzrechtlichen Prüfinhalten konkrete Empfehlungen zur Dokumentation. Ein derart abgestimmtes Vorgehen innerhalb der Datenschutzkonferenz dient nicht zuletzt einer einheitlichen und transparenten Beratungs- und Prüfpraxis in Bund und Ländern.

Mehrere Beschwerden und Anfragen bemängelten den fehlenden Datenschutz am Empfang und in Servicezentren (A V 7, Seite 129). Teilweise war in Arzt- oder Physiotherapiepraxen der Abstand zwischen Empfang und Wartebereich zu gering oder es war gar keine räumliche Abtrennung vorhanden. So konnten Unbeteiligte nicht nur Gespräche mithören, die sensible personenbezogene Daten zum Inhalt hatten, sondern in einem Fall sogar den Bildschirm des Praxiscomputers einsehen. Ein Kunde einer Krankenversicherung erfuhr durch die Gespräche anderer Versicherter mit dem Servicepersonal ungewollt allerlei zu Krebserkrankungen betroffener Personen, zu Versicherungsschulden, Einkommenshöhen und möglichen Tilgungsraten oder zu Privatangelegenheiten der Beschäftigten. Wir haben schließlich vor Ort mit Nachdruck auf die räumliche Umgestaltung drängen müssen. In den übrigen Fällen haben wir empfohlen, die Vertraulichkeit durch bauliche, technische oder organisatorische Maßnahmen sicherzustellen. In keinem Fall wiederholten sich die Beschwerden. Dagmar Hartge:

„Eine unbefugte Offenbarung von Gesundheitsdaten kann besonders schwer wiegen. Medizinische Einrichtungen und Dienstleister müssen deshalb ein besonderes Augenmerk auf die Umsetzung geeigneter und angemessener Datenschutzmaßnahmen richten. So zeigen die Verantwortlichen ihren Patientinnen und Patienten bzw. Kundinnen und Kunden, dass sie deren Befürchtungen ernst nehmen. Vertrauen entsteht oft durch einfache Mittel – durch eine geschickte Aufteilung von Räumen, durch Diskretionsabstände oder durch die eigentlich selbstverständliche Sperrung von Bildschirmen auf unbesetzten Arbeitsplätzen."

Der Einsatz von Gesichtserkennung am Flughafen Berlin Brandenburg (BER) – der sogenannte Hands-Free Check-In – ermöglicht es Fluggästen, die Sicherheitskontrolle kontaktlos per Gesichtserkennung und ohne das Vorzeigen der Bordkarte zu passieren (A V 6, Seite 126). Auch Gepäckbanderolen können hierüber ausgedruckt werden. Die Nutzung des auf der Verwendung einer App basierenden Verfahrens ist freiwillig; mehrere Unternehmen sind daran beteiligt. Derzeit prüfen wir, inwiefern die damit verbundene Verarbeitung personenbezogener Daten am Flughafen BER den datenschutzrechtlichen Anforderungen entspricht und welche technischen bzw. organisatorischen Maßnahmen für einen rechtskonformen Betrieb umzusetzen sind. Hierzu stehen wir mit den Verantwortlichen der Flughafen Berlin Brandenburg GmbH im Austausch. Weiterhin befassen wir uns mit der Verarbeitung von Daten unbeteiligter Dritter (z. B. im Hintergrund von Bildaufnahmen befindliche Personen) sowie der Verbesserung der Transparenz der Datenverarbeitung durch Information betroffener Personen. Im Rahmen eines Vor-Ort-Besuches haben wir der Flughafen Berlin Brandenburg GmbH einige Hinweise gegeben, die sie zum Teil bereits umgesetzt hat.

Wie sich herausstellte, war ein Netzwerkspeicher des Staatsschutzes der Polizei schutzlos im Internet zugänglich (B 1, Seite 147). Die zuständige Abteilung im Landeskriminalamt hatte zur Ablage personenbezogener Daten einen eigenen, vom internen Polizeinetz getrennten Netzwerkspeicher eingerichtet. Diesen hatte sie auch als Speicher für Bürgerhinweise in einem Kriminalfall eingesetzt. Über den in einer Pressemitteilung enthaltenen Verweis auf das Hinweisportal konnte jedermann die Anmeldeseite des Netzwerk-Administrators aufrufen. Der Netzwerkspeicher war vermutlich jahrelang ohne Firewall oder weiteren Schutz mittels eines DSL-Anschlusses des Landeskriminalamts direkt mit dem Internet verbunden. Das Betriebssystem des Netzwerkspeichers war zudem lange nicht aktualisiert worden. Schließlich wurde der Speicher später mit einem Funknetz verbunden, das ebenfalls unsicher konfiguriert war und damit ein weiteres mögliches Einfallstor für unberechtigte Zugriffe bot. Vorgeschriebene Freigabeprozesse wurden nicht ordnungsgemäß durchlaufen, erforderliche Dokumentationen lagen nicht vor. Im Ergebnis war es nicht möglich, einen Zugriff unberechtigter Personen auszuschließen.

Zwar verfügt die Polizei durchaus über interne Vorgaben und Verfahren, mit denen aktuelle Sicherheitsanforderungen der Informationstechnik umgesetzt werden. Die in Rede stehende Technik hat das Landeskriminalamt aber unter Umgehung dieser Anforderungen und ohne ordnungsgemäßen Freigabeprozess beschafft und betrieben. Die Landesbeauftragte hat die beschriebenen Mängel beanstandet und konkrete Maßnahmen empfohlen, um ähnliche Vorfälle künftig zu vermeiden. Unabhängig davon hat die Polizei die Defizite erkannt und ein Konzept zur Implementierung zentral kontrollierbarer Internetzugänge für die ganze Behörde erstellt. Parallel erarbeitet sie grundlegende Regelungen für den strategischen und operativen Datenschutz und die Informationssicherheit. Wir begrüßen diese sowie weitere von der Polizei ergriffene Maßnahmen und behalten uns kritische Nachfragen vor. 

Durch die Übersendung von Daten aus dem Ermittlungsverfahren per E-Mail verstieß ein Polizeibediensteter gegen Datenschutzvorschriften (B 3, Seite 154). Er hatte im Zuge eines Ermittlungsverfahrens eine E-Mail an das zentrale, für mehrere Beschäftigte zugängliche E-Mail-Postfach eines Hotels gesandt. Darin schilderte er, dass gegen einen namentlich genannten Mitarbeiter des Hotels ein Ermittlungsverfahren geführt werde, und bat um weitere Daten des Tatverdächtigen. Dies war unzulässig, weil nur dafür zuständige Personen von dem Auskunftsverlangen hätten Kenntnis erlangen dürfen. Außerdem hätte der Polizeibedienstete seine E-Mail in geeigneter Weise verschlüsseln müssen, um die personenbezogenen Daten des Tatverdächtigen während der elektronischen Übermittlung zu schützen. Wir informierten die Polizei Brandenburg über den Sachverhalt und wiesen auf die Rechtslage hin. Außerdem regten wir an, geeignete Maßnahmen zu treffen, um die Polizeibediensteten für den Umgang mit per E-Mail gestellten Auskunftsverlangen zu sensibilisieren.

Im Berichtszeitraum hat sich die Zahl der Datenschutzbeschwerden im Vergleich zum Vorjahr erneut erhöht – von 1.450 Beschwerden im Jahr 2024 auf 1.599 Beschwerden im vergangenen Jahr (A VI 1, Seite 133). Darüber hinaus registrierte die Landesbeauftragte im Berichtsjahr auch 477 Anfragen zu Datenschutzthemen, was einen leichten Anstieg gegenüber dem Vorjahr bedeutet (A VI 2, Seite 134). Wesentlich deutlicher war die Steigerung der Anzahl von Beschwerden und Beratungsanfragen auf dem Gebiet der Videoüberwachung (A VI 3, Seite 135). Im Jahr 2025 erreichten uns zu diesem Thema 431 Beschwerden (Vorjahr: 330 Beschwerden) und wir führten 68 Beratungen (Vorjahr: 59 Beratungen) durch. Wir erhielten insgesamt 576 Meldungen von Datenschutzverletzungen (A VI 4, Seite 137). Das bedeutet ebenfalls eine Steigerung gegenüber dem Vorjahr, in welchem 506 Meldungen eingingen.