Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2020 vorgelegt. Der Bericht umfasst ein großes Spektrum an Themen aus den Bereichen Datenschutz und Informationsfreiheit. Ein Schwerpunkt der Arbeit ergab sich aus der Corona-Pandemie – dies zeigen die unterschiedlichen Aspekte rund um Pandemiebekämpfung und Digitalisierung. Insgesamt wird aus zahlreichen Beschwerden und Datenpannenmeldungen deutlich, dass bei vielen Organisationen immer noch Nachholbedarf im Bereich Datenschutz und Informationssicherheit besteht.
Hansens Resümee für das Jahr 2020: „Wieder mehr Beschwerden, wieder mehr Datenpannen, und vor allem mehr Angriffe auf den Datenschutz. Hier muss mit einem weit verbreiteten Missverständnis aufgeräumt werden:
Datenschutz verhindert nicht die Pandemiebekämpfung! Datenschutz ist gerade in Krisenzeiten wichtig. In der andauernden Pandemiesituation ist es sogar besonders relevant, dass Datenschutz nicht als lästiges und verzichtbares Anhängsel wahrgenommen, sondern von Anfang an mitgedacht und eingebaut wird. Wer darauf verzichtet, riskiert nicht nur Pannen oder Datenmissbrauch, sondern setzt jegliches Vertrauen aufs Spiel.“
Hansen ärgert sich über das Vorurteil, Datenschutz würde notwendige Datenverarbeitungen verhindern: „Wie die vermeintlichen –und oft herbeigeredeten – Konflikte in den konkreten Fällen kurzfristig in der Praxis auflösbar sind und wo nachgebessert werden muss, ist ein Schwerpunkt unserer Arbeit.“
Das „Jahresthema Corona“ durchzieht den Tätigkeitsbericht: Zum einen ging es um Maßnahmen wie Fragebögen, Temperaturmessung oder Kontaktdatenerfassung beim Einlass, um Verfahren zur Messung einer großen Personendichte oder um das Datenschutzkonzept der Corona Warn App, die vorbildlich ohne Nennung von Namen und Standorten auskommt. Zum anderen hatten es die Mitarbeiterinnen und Mitarbeiter des ULD mit zahlreichen Anfragen zum Technikeinsatz und zu Regeln im Homeoffice, im Homeschooling und in Online-Sitzungen zu tun. Die Handreichungen des ULD „Datenschutz: Plötzlich im Homeoffice – was nun?“ und „Plötzlich Videokonferenz – und der Datenschutz?“ kamen zur rechten Zeit, um Hilfestellung zu bieten.
Textziffern 4.1.1, 4.1.2, 4.3.2, 5.3, 5.4.1, 5.4.2, 5.4.3, 7.1, 8.1, 6.3.3
Trotzdem blieben Datenverstöße und Datenpannen nicht aus: Im Tätigkeitsbericht findet man Beschreibungen von Fällen, in denen die datenschutzrechtlichen Anforderungen nicht eingehalten wurden, beispielsweise zu Datenpannen oder absichtlichem Fehlverhalten im Homeoffice oder bei der Kontaktdatenverwendung. Auch Bereiche wie der „Dauerbrenner“ Videoüberwachung, der Schutz des Patientengeheimnisses, der Beschäftigtendatenschutz, die polizeiliche Datenverarbeitung oder die Analyse von Datensicherheitsmängeln nehmen neben den Themen der Informationsfreiheit einen großen Raum der Arbeit des ULD ein. Insgesamt sind die Zahlen der Beschwerden (1.219 schriftliche Beschwerden in eigener Zuständigkeit, Zunahme um 27 %) und der an das ULD gemeldeten Datenpannen (406 Meldungen, Zunahme um 16 %) erneut gestiegen.
Datenpannen: Textziffern 4.1.11, 4.1.12, 4.5.8, 4.5.9, 4.5.10, 4.5.11, 5.5.1, 5.5.2, 5.5.3
Wie erwartet, brachte das Jahr 2020 durch die Corona-Pandemie einen Schub für die Digitalisierung – das zeigte sich beispielsweise im verstärkten Technikeinsatz für das Arbeiten von zu Hause und per Videokonferenz. Nicht immer funktionierte dies ohne Probleme. Dass Datenpannen im Homeoffice zunehmen, wenn die eingesetzten Computer nicht in die abgesicherte Infrastruktur der Organisationen eingebunden sind, war zu erwarten. Die Zahlen der gemeldeten Datenpannen zeigen in diesem Bereich auch einen leichten Anstieg. Hansen vermutet aber, dass es sehr viel mehr Vorfälle gab, die jedoch nicht bekannt wurden, weil Beschäftigte ihre Arbeitgeber über kleine Pannen nicht informiert haben und vielleicht auch gar nicht wussten, dass eine Meldepflicht besteht.
Kritisch wird es spätestens dann, wenn Beschäftigte aktiv die Sicherheitsmaßnahmen ihrer Organisation umgehen, um von zu Hause aus arbeiten zu können: In einem Fall installierte ein Mitarbeiter ein Programm zur Fernnutzung auf Dienstcomputern einer Filiale, um von außen darauf zugreifen zu können. Er hatte sich ohne Wissen seines Arbeitgebers selbst ins Homeoffice versetzt. Kunden-E-Mails leitete er an seine private E-Mail-Adresse weiter. Einerseits verließen also Kundendaten den abgesicherten Bereich des Unternehmens, andererseits durften keine eigenmächtigen Fernzugriffsmöglichkeiten geschaffen werden, die möglicherweise auch von Dritten ausgenutzt werden könnten.
Hansen warnt daher vor Umgehungsstrategien: „An den Arbeitsplätzen, die für das Homeoffice geeignet sind, muss ein datenschutzkonformes und sicheres Verfahren etabliert sein. Sicherheitsvorgaben dürfen nicht getunnelt werden.“
Datenpannen im Lockdown: Textziffer 5.5.1
Auch die per Corona-Bekämpfungsverordnung eingeführte Verpflichtung für etwa Gastronomen und Veranstalter, Kontaktdaten ihrer Gäste zu sammeln, führte zu vielen Fragen und Problemen, denn nicht alle hatten verstanden, dass diese Daten nur dem Zweck der Kontaktnachverfolgung dienten und auf Anfrage des Gesundheitsamts herauszugeben waren, aber ansonsten gegen unberechtigte Zugriffe zu schützen waren. Zu den typischen Datenschutzverstößen und Schludrigkeiten gehörten ausgelegte Listen, bei denen jeder Gast die Daten der vorherigen Besucherinnen und Besucher sehen konnte, ein Sammeln von zusätzlichen Informationen und die Nutzung zu ganz anderen Zwecken als vorgesehen: für Marketing-Aktionen, für die persönliche Kontaktaufnahme bei einer Beschwerde und sogar für Flirtversuche per Messenger.
Kontaktdaten-Sammlung: Textziffern 5.3, 5.4.1, 5.4.2
Bei den meisten Fällen, die das ULD untersucht hat, handelte es sich nicht um absichtliche Verstöße, sondern den Verantwortlichen war nicht klar, welche Pflichten sie hatten, oder sie hatten vergessen, sich um die Erfüllung der Datenschutzanforderungen zu kümmern. Dazu gehört zum Beispiel der Fall „Wenn Berufsfeuerwehrleute zu Filmstars werden“: Man hatte gedacht, es sei eine gute Idee, Feuerwehrleute von einem Filmteam begleiten zu lassen und mit Bodycams der Filmfirma auszustatten. Jedoch kann man bei einem echten Feuerwehreinsatz die zu rettenden Personen nicht um Einwilligung für die Aufnahme und spätere Veröffentlichung bitten. Eine Rechtsgrundlage für das Filmen konnte nicht genannt werden; wir haben darauf hingewiesen, dass die Bodycams der Filmfirma nicht eingesetzt werden dürfen.
Feuerwehrleute als Filmstars: Textziffer 4.1.8
Allerdings gibt es auch immer wieder Fälle, in denen Datenschutzverstöße zum Geschäftsmodell gehören oder vorsätzlich geschehen. Ein Beispiel für ein absichtsvolles Vorgehen sind verdeckte Videoüberwachungen, von denen dem ULD jedes Jahr einige gemeldet werden, beispielsweise in Umkleiden, Toiletten oder bei medizinischen Untersuchungen. Weil es sich beim heimlichen Erstellen von Videoaufnahmen um Straftaten handeln kann, muss das ULD diese Verfahren an die Staatsanwaltschaft abgeben.
Verdeckte Videoüberwachung: Textziffer 5.6
Wenn sich Beschwerden in einer Branche häufen, führt das ULD nach Möglichkeit gleichartige Prüfungen durch – so auch in dem Fall von Werbeaktionen durch Partnervermittlungen: Kaum jemand schätzt es, ungefragt E-Mail-Werbung zu erhalten. Wenn diese E-Mails auch noch von Partnervermittlungen stammen, kommen einige ins Grübeln, wie sie aufdem Verteiler gelandet sind und welche Daten dort über einen gesammelt werden. Dies ist für die Empfänger kaum nachvollziehbar. In den Beschwerdefällen, denen das ULD nachgegangen ist, war auch nicht klar, an wen sich die Empfänger wenden konnten, um ihr Auskunftsrecht geltend zu machen oder der Verarbeitung zu widersprechen. Aus dem Grund wurden acht Partnervermittlungen in Schleswig-Holstein geprüft, die solche Werbemaßnahmen mit Hilfe von beauftragten Dienstleistern wie Listbrokern durchgeführt haben. Hier taten sich zahlreiche Mängel auf, die in vielen Fällen zur Beendigung der Zusammenarbeit mit den Listbrokern führten. Auch musste das ULD in einzelnen Fällen die Erteilung von Auskünften mit Zwangsmaßnahmen durchsetzen.
Prüfung Partnervermittlungen: Textziffer 5.2
Kritisch sind auch solche Fälle, in denen Auftragsverarbeiter zwar ein hohes Niveau an Informationssicherheit versprechen, dies dann aber nicht erfüllen können. Hier ist zügige Abhilfe geboten: Etwaige Datenschutzmängel beim Dienstleister führen dazu, dass die Auftraggeber ihrer Rechenschaftspflicht nicht nachkommen können. Bedingung ist stets, dass die Risiken gemäß dem Schutzbedarf beherrscht werden und dies auch belegt werden kann. In solchen Fällen kann es notwendig werden, dassdie Aufsichtsbehörde die Verarbeitung der personenbezogenen Daten untersagt.
(Un-)Sicherheit im Rechenzentrum: Textziffer 4.1.10
Hansen findet es jedoch nicht beruhigend, dass die meisten festgestellten Verstöße in Schleswig-Holstein wohl nicht mit Absicht geschehen: „Wenn ein Datenmissbrauch die Ursache darin hat, dass die Unternehmen oder Behörden ihre Pflichten nicht kennen odmer keine ausreichende Kompetenz mitbringen, um die Risiken ihrer Datenverarbeitung im Griff zu haben, ist das kein gutes Zeichen. Digitalisierung braucht Professionalität und planvolles Vorgehen.“
Hier helfen die Datenschutzbeauftragten vor Ort. Jedoch ist diese Arbeit nicht einfach: Eine große Unzufriedenheit mit der Situation entlädt sich seit einiger Zeit durch ein verbales Eindreschen auf den Datenschutz und auf diejenigen, die ihn vertreten, also die Aufsichtsbehörden und die behördlichen und die betrieblichen Datenschutzbeauftragten, die ihren Job machen. Das ist nicht ganz einfach in einer Welt, in der bei Entwicklung und Betrieb von Informationstechnik die Datenschutzanforderungen vielfach nicht schon ausreichend Berücksichtigung finden. Das Versäumnis einer datenschutzkonformen Systemgestaltung – die die Verantwortlichen einfordern müssen – darf aber nicht den behördlichen und betrieblichen Datenschutzbeauftragten angelastet werden, die korrekt gemäß den rechtlichen Regelungenund der höchstrichterlichen Rechtsprechung beraten.
eispielsweise EuGH-Urteil zum Privacy-Shield: Textziffern 2.5, 11.5B
Facebook-Fanpages: Textziffer 7.2
Hansen kommentiert dies: „Mit Sorge sehe ich, dass den Datenschutzbeauftragten vor Ort in einigen Fällen die Arbeit schwergemacht wird und sie für ihre Stellungnahmen angegriffen werden. Das ist nicht in Ordnung. Für ein gutes Datenschutzniveau in der Fläche brauchen wir kompetente und motivierte behördliche und betriebliche Datenschutzbeauftragte.“
Hilfreiche Informationen
Auch wenn die Masse der Beschwerden und Datenpannen einen Großteil der Ressourcen der Datenschutzaufsichtsbehörde bindet, versucht das ULD,für typische Fragen und Sachverhalte das komplex erscheinende Thema des Datenschutzes praxisnah zu erläutern und Hinweise zu datenschutzkonformer Gestaltung zu geben, beispielsweise in den Handreichungen zu Homeoffice und Videokonferenzen und den Broschürender Praxisreihe, die online verfügbar sind. Im Tätigkeitsbericht finden sich außerdem konkrete Tipps zur technischen Gestaltung von Bestätigungs-E-Mails bei Online-Formularen, zum Schwärzen digitaler Dokumente und zum Einbinden von Karten auf Webseiten, ohne dass hierbei Daten an Dritte abfließen.
Bestätigungs-E-Mails: Textziffer 10.1
Schwärzen: Textziffer 10.3
Kartendienste: Textziffer 10.5
Auch im Bereich der Informationsfreiheit helfen die Veröffentlichungen des ULD. Das Informationszugangsrecht, nach dem jede Person bei Behörden vorhandene Information abfragen kann, ist anscheinend noch nicht allen öffentlichen Stellen bekannt, oder es wurde versäumt, die Arbeitsprozesse einzuführen, um die gesetzliche Pflicht zu erfüllen. Die Petentinnen und Petenten, die sich an das ULD wenden, beschweren sich daher über ausbleibende Antworten oder nicht nachvollziehbare Ablehnungen ihrer Anträge auf Information. Ein stark nachgefragtes Thema im Jahr 2020 waren Informationen zur Corona-Pandemie.
Informationsfreiheit – TOP 5 der Beschwerden: Textziffer 12.2
Blick in die Zukunft
Ein Instrument der Datenschutz-Grundverordnung ist immer noch nicht mit Leben erfüllt: die Zertifizierung. Hier hat der Arbeitskreis Zertifizierung unter Leitung des ULD nun aber dafür die Grundlage gelegt, dass sich Zertifizierungsstellen akkreditieren lassen können. Voraussichtlich werden Zertifizierungen nach der Datenschutz-Grundverordnung künftig bei der Wahl von Dienstleistern und auch beim internationalen Datentransfer eine Rolle spielen.
Zertifizierung: Textziffer 9.3
Mit der Zertifizierung wird hoffentlich der eingebaute Datenschutz –durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen – einen größeren Stellenwert bekommen.Hansen hält das Thema für dringend: „Die Abhängigkeit von Technik ist in den letzten Jahren gestiegen, an allen möglichen Stellen werden Daten über uns und unser Verhalten gesammelt, und digitale Souveränität ist bishernur eine Wunschvorstellung. Digitalisierung muss fair sein, nicht desolat.
Bedenklich sind auch aktuelle politische Ideen zum Einbauen von Hintertüren und zum Schwächen der Verschlüsselung –das ist der falsche Weg. Wir brauchen mehr Datenschutz und Sicherheit, so wie es die Datenschutz-Grundverordnung fordert.“
Digitale Souveränität: Textziffer 2.1
Verschlüsselung: Textziffer 2.2
Bei Nachfragen wenden Sie sich bitte an:
Die Landesbeauftragte für Datenschutz Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223
E-Mail: mail@datenschutzzentrum.de