BfDI legt Berichte vor

An die­sem Mitt­woch, den 17.06.2020 leg­te der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) sei­ne Tätig­keits­be­rich­te für bei­de Berei­che vor. Wich­ti­ge The­men dar­in sind unter ande­rem Gesund­heits­da­ten und Dia­log in der Gesetz­ge­bung. Die obers­te Daten­schutzbehör­de ist der­zeit mit über 250 Plan­stel­len besetzt, in die­sem Jahr sol­len es über 300 werden. 

In die­sem Bei­trag wird zunächst nur auf den Daten­schutz­be­richt ein­ge­gan­gen und hier­bei eini­ge „Schwer­punk­te“ gesetzt. Die Gewich­tung erhebt nicht den Anspruch reprä­sen­ta­tiv für die inhalt­li­che Gewich­tung des zugrun­de­lie­gen­den Berichts zu sein oder auf Grund des Umfangs allen — jeweils sehr wich­ti­gen — The­men durch Erwäh­nun­gen gerecht zu werden. 

Zu den Schwer­punkt­the­men gehör­te insb. die Digi­ta­li­sie­rung im Gesund­heits­we­sen und Eva­lu­ie­rung der DSGVO. Kern­the­men sind 

  • All­tags­er­leich­te­rung und Praxistauglichkeit, 
  • Daten­pan­nen­mel­dun­gen,
  • Zweck­bin­dung, 
  • Data Pro­tec­tion by Design, 
  • Befug­nis­se der Auf­sichts­be­hör­den und Sanktionspraxis, 
  • Zustän­dig­keits­be­stim­mung, Zusam­men­ar­beit und Kohärenz, 
  • Direkt­wer­bung,
  • Pro­filing und 
  • Akkre­di­tie­rung. 

Fer­ner lag das Augen­merk auf Aspek­ten der Daten­mi­ni­mie­rung, Umset­zung der KI, der Ein­wil­li­gung als Rechts­grund­la­ge  und Stel­lung­nah­men der Datenethikkommission. 

Eini­ge Zah­len zur Tätig­keit des BfDI 

Im Berichts­zeit­raum, dem Jahr 2019, wur­den dem BfDI über 3.200 Beschwer­den zuge­tra­gen, davon 44 nach § 60 BDSG, Direkt­an­ru­fung des Bun­des­be­auf­trag­ten, und 44 gegen Nach­rich­ten­diens­te. Über 10.000 Anlie­gen von betrof­fe­nen Per­so­nen /​ Bür­gern wur­den auf schrift­li­chem oder tele­fo­ni­schem Wege behan­delt. Die Mel­dun­gen von Daten­pan­nen belie­fen sich auf rund 15.000. Ins­ge­samt kam es zu 6 Ver­war­nun­gen, 8 Bean­stan­dun­gen und 2 Geld­bu­ßen. 51 Besuchs­ter­mi­ne bei Ver­ant­wort­li­chen wur­den zur Infor­ma­ti­on und Bera­tung genutzt, 73 wei­te­re außer­dem zu daten­schutz­recht­li­chen Kontrollen. 

Emp­feh­lun­gen des BfDI für Ein­rich­tun­gen und Bür­ger 

10 Emp­feh­lun­gen wer­den schrift­lich aus­ge­führt. Dazu gehö­ren bri­san­te The­men wie die elek­tro­ni­sche Pati­en­ten­ak­te, Mail­ver­schlüs­se­lung und bio­me­trie­ge­stütz­te Video­über­wa­chung. Des wei­te­ren wur­den die Umset­zungs­sta­tus von Emp­feh­lun­gen des vori­gen BfDI Daten­schutz­be­richts in 20 Punk­ten resümiert. 

Gre­mi­en­ar­beit und Gesetz­ge­bung 

Im ers­ten der hier gemein­sam zusam­men­ge­fass­ten Kapi­tel geht der Bericht auf die Gre­mi­en­ar­beit bei der DSK, der Inter­na­tio­na­len Daten­schutz­kon­fe­renz, dem Euro­päi­schen Daten­schutz­aus­schuss sowie dem Daten­schutz-Aus­schuss des Euro­pa­rats (Kon­ven­ti­on 108) ein. 

Im Bereich der Gesetz­ge­bung wer­den u.a. die Anhe­bung auf 20 Mit­ar­bei­ter bei der DSB Bestell­pflicht, Rege­lungs­lü­cken bei der Daten­ver­ar­bei­tung gesetz­li­cher Kran­ken­kas­sen und die Aus­ste­hen­de Anpas­sung des TKG moniert. Auch im Rah­men der Sicher­heits­ge­setz­ge­bung — wie etwa StPOZoll­fahn­dungs­dienst und der geplan­ten Darknet Gesetz­ge­bung — gebe es Über­ar­bei­tungs­be­darf. Auch wur­de auf das ZensG 2021, das Pro­jekt der Regis­ter­mo­der­ni­sie­rung und die Gesetz­ge­bung im Gesund­heits-­ und Sozi­al­we­sen eingegangen. 

Der BfDI Daten­schutz­be­richt zum The­ma Sicher­heits­be­reich 

.. behan­del­te u.a. den CLOUD Act über den weit­rei­chen­den Zugriff US ame­ri­ka­ni­scher Straf­ver­fol­gungs­be­hör­den auf Daten bei Inter­net-Unter­neh­men. Stel­lung bezog der BfDI eben­falls zum Vor­schlag der e‑E­vi­dence-Ver­ord­nung über das geplan­te Recht euro­päi­scher Straf­ver­fol­gungs­be­hör­den, Bestands, Ver­kehrs- und Inhalts­da­ten unmit­tel­bar bei Pro­vi­dern EU grenz­über­grei­fend zu erhe­ben sowie das Pro­jekt „Poli­zei 2020“. Dabei wur­den u.a. Daten­spei­che­run­gen und Trans­pa­renz der sowie Kon­trol­len bei Sicher­heits­be­hör­den thematisiert. 

Zu wei­te­ren The­men gehör­ten Dritt­staa­ten­trans­fers, auch hin­sicht­lich der Aus­wir­kun­gen des Bre­x­it, Stan­dard­ver­trags­klau­seln und der Daten­schutz in wei­te­ren grund­le­gen­den Orga­ni­sa­tio­nen wie Post­we­sen und Arbeitsämtern. 

Zusam­men­fas­sung 

Der gro­ße Umfang und das viel­schich­ti­ge Spek­trum der im Berichts­jahr 2019 behan­del­ten The­men in prä­gnan­tem Doku­men­ta­ti­ons­stil machen deut­lich, dass Inhal­te, Neu­tra­li­tät und Trans­pa­renz von die­ser Behör­de sehr ernst genom­men wer­den. Mit kla­ren Wor­ten und auf­ge­lo­ckert durch Kari­ka­tu­ren (wie etwa auf Sei­te 49) Ver­mit­telt der vor­lie­gen­de Bericht The­men, die an Stamm­ti­schen ger­ne als Ver­schwö­rungs­theo­rien abge­tan wer­den, auf sach­li­che und kon­struk­ti­ve Weise. 

Mann mit Lupe - Unter Beobachtung

Auf 158 Sei­ten gibt der Prä­si­dent des Baye­ri­schen Lan­des­am­tes für Daten­schutz­auf­sicht (BayL­DA), Tho­mas Kra­nig einen Über­blick über die Arbeit der Daten­schutz­auf­sichts­be­hör­de für den nicht-öffent­li­chen Bereich in Bay­ern für die Jah­re 2015 und 2016 ab.

Das BayL­DA ist für ca. 700.000 ver­ant­wort­li­che Stel­len im nicht-öffent­li­chen Bereich (Unter­neh­men, Ver­ei­ne, Ver­bän­de, frei­be­ruf­lich Täti­ge etc.) in Bay­ern zuständig.

Im vor­de­ren Teil des Berichts wird anschau­lich auf die Ent­wick­lung von Bür­ger­be­schwer­den, Daten­pan­nen, aber auch Bera­tungs­an­fra­gen sei­tens nicht-öffent­li­cher Stel­len ein­ge­gan­gen. Der Über­sicht ab 2013 ist zu ent­neh­men, dass es sich bei der zuneh­men­den Stei­ge­rung nicht um ein­zel­ne Spit­zen, son­dern klar um einen Trend han­delt. Sind 2013 “nur” 925 Beschwer­den über baye­ri­sche Unter­neh­men und Unter­neh­mer ein­ge­gan­gen, so waren es 2016 schon 1.424. Iden­tisch ver­hält es sich mit der Zahl der Daten­pan­nen (2013 32 gegen­über 85 in 2016). Wobei hier eine deut­lich höhe­re Dun­kel­zif­fer sei­tens des Amts ver­mu­tet wird. Bei den Beschwer­den liegt das The­ma Video­über­wa­chung auf dem vor­ders­ten Platz. Unter ande­rem sind dafür die mitt­ler­wei­le sehr preis­wer­ten Über­wa­chungs­ka­me­ras (wie Wild­ka­me­ras, Dash­cams usw.) ver­ant­wort­lich, jedoch auch ein gestei­ger­tes Sicher­heits­be­dürf­nis. Letz­te­res führt schnell mal dazu, nicht nur (zuläs­si­ger­wei­se) das eige­ne Grund­stück zu obser­vie­ren, son­dern (zumeist unzu­läs­sig) angren­zen­de Grund­stü­cke oder öffent­li­che Ver­kehrs­flä­chen mit einzuschließen.

Klas­si­sche Daten­pan­nen wie Ver­lust, Dieb­stahl oder Fehl­ver­sen­dun­gen sind im Berichts­zeit­raum nahe­zu gleich geblie­ben. Eine ver­mehr­te Zunah­me wur­de jedoch im Bereich Cybercrime fest­ge­stellt. Hacking von Web­sei­ten, Daten­klau in Web­shops sowie Ver­schlüs­se­lungs­tro­ja­ner stan­den dabei ganz oben auf der Lis­te. Gera­de die ers­ten bei­den Punk­te oft aus­ge­löst durch feh­len­de Sicher­heits­up­dates der Web­sei­ten- und Shop-Soft­ware inklu­si­ve dazu­ge­hö­ri­ger Erwei­te­run­gen durch die ver­ant­wort­li­chen Unter­neh­men und Unternehmer.

Im wei­te­ren Ver­lauf des Tätig­keit­be­richts wird ein Blick auf die ab Mai 2018 gel­ten­de EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) gewor­fen und wel­che Aus­wir­kun­gen die­se auf nicht-öffent­li­che Stel­len haben wird. Die Ver­pflich­tung zur Bestel­lung eines Daten­schutz­be­auf­trag­ten wird vor­aus­sicht­lich in bekann­ter Wei­se fort­ge­führt. Neu ist jedoch die Mel­de­pflicht der Bestel­lung an die Lan­des­da­ten­schutz­be­hör­de. Die­se rech­net mit einem erheb­li­chen Arbeits­auf­wand auf­grund der zu erwar­ten­den tau­send­fa­chen Mel­dun­gen. [Anmer­kung des Autors: Die­se Mel­de­pflicht wird natür­lich auch Aus­wir­kun­gen auf Unter­neh­men haben, die bis­her der Bestell­pflicht unter­la­gen, sich aber eine Bestel­lung erspart haben. Eine Nicht­mel­dung kann im wei­te­ren Ver­lauf unan­ge­neh­me Nach­fra­gen — und bei Ver­stö­ßen auf Buß­gel­der auslösen.]

Eine kur­ze Zusam­men­fas­sung kön­nen Sie hier her­un­ter­la­den. Der kom­plet­te Tätig­keits­be­richt steht hier zum Down­load bereit.

Ja ja ja, jetzt wird wie­der in die Hän­de gespuckt …

Tho­mas Kra­nig, Amts­lei­ter des Baye­ri­schen Lan­des­amts für Daten­schutz mit Sitz in Ans­bach hat am Mon­tag den Tätig­keits­be­richt für die Jah­re 2009 und 2010 in Mün­chen vor­ge­stellt. Bei der Daten­schutz­be­hör­de gingen3.256 Anfra­gen und Beschwer­den von Bür­gern und Unter­neh­men ein. Das sind 80% mehr als noch fünf Jah­re zuvor. Kra­nig führt dies auf eine deut­lich gestie­ge­ne Sen­si­bi­li­tät für die Siche­rung der Pri­vat­sphä­re bei den Betrof­fe­nen zurück. Was in Anbe­tracht der medi­al auf­be­rei­te­ten Skan­da­le bei der Deut­schen Tele­kom, der Deut­schen Bahn, dem Lebens­mit­tel­dis­coun­ter Lidl und in ver­schie­de­nen Call-Cen­tern auch nicht wei­ter verwundert.

Drah di net um, schau schau, der Kom­mis­sar geht um …

Für den nicht-öffent­li­chen Bereich, also für Unter­neh­men, lis­tet der Tätig­keits­be­richt auf über 100 Sei­ten Daten­schutz­ver­feh­lun­gen auf. Dabei ging es um Ver­stö­ße im Bereich der Video­über­wa­chung, den wenig sen­si­blen Umgang mit Bewer­ber­da­ten und vie­lem mehr. Im Berichts­zeit­raum lei­te­te die Schutz­be­hör­de 22 Ver­fah­ren wegen Ord­nungs­wid­rig­kei­ten gegen Unter­neh­men wegen “nach­hal­ti­ger daten­schutz­recht­li­cher Ver­stö­ße” ein und stell­te sogar zwei Straf­an­trä­ge. Sta­tis­tisch gese­hen, lag jeder zwei­ten Anfra­ge ein Ver­stoß gegen daten­schutz­recht­li­che Bestim­mun­gen zu Grunde.

Mitt­ler­wei­le ver­fügt die Behör­de für den nicht-öffent­li­chen Bereich über 12 Mit­ar­bei­ter, die für Kon­troll- und Bera­tungs­tä­tig­kei­ten bereit­ste­hen. Das Risi­ko einer zufäl­li­gen Über­prü­fung im Rah­men einer Stich­pro­be nimmt für Unter­neh­men in Bay­ern (aber auch bun­des­weit) ste­tig zu.

Wir fahr’n fahr’n fahr’n auf der Autobahn …

Eine Par­al­le­le zwi­schen Stra­ßen­ver­kehr und Daten­ver­kehr zie­hend, mahn­te der baye­ri­sche Innen­mi­nis­ter Joa­chim Herr­mann zur Vor­sicht bei der Preis­ga­be per­sön­li­cher Daten auf dem Daten­high­way. Dies auch im Hin­blick auf die von immer mehr Betrof­fe­nen genutz­ten sozia­len Netz­wer­ke. Nicht nur, daß hier das Risi­ko der über­bor­den­den Frei­ga­be der eige­nen Daten besteht. Auch Tex­te, Bil­der und Vide­os Drit­ter, die einen selbst betref­fen, stel­len eine immer grö­ße­re daten­schutz­recht­li­che Her­aus­for­de­rung dar.

Irgend­wie, irgend­wo, irgendwann …

Den Titel die­ses Hits der Neu­en Deut­schen Wel­le soll­ten Sie sich nicht zum Vor­bild neh­men, wenn es um die Ein­füh­rung aktu­el­ler Kon­zep­te für Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men geht. Erst recht nicht, wenn even­tu­ell bereits eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten besteht — denn die feh­len­de, ver­spä­te­te oder nicht kor­rek­te Bestel­lung eines geeig­ne­ten Daten­schutz­be­auf­trag­ten ist buß­geld­be­wehrt. Unsi­cher? Dann spre­chen Sie mich an.

 

Auf den Web­sei­ten des baye­ri­schen Lan­des­da­ten­schutz­be­auf­trag­ten steht der Tätig­keits­be­richt für 2010 zur Ver­fü­gung. Dar­in moniert Tho­mas Petri das mitt­ler­wei­le in die Jah­re gekom­me­ne Lan­des­da­ten­schutz­ge­setz. Gera­de im Hin­blick auf den Umgang mit per­so­nen­be­zo­ge­nen Daten im Inter­net bestün­de Aktua­li­sie­rungs­be­darf. Wei­ter­hin betrach­tet er die Bün­de­lung der IT-Res­sour­cen des Frei­staats an weni­gen zen­tra­li­sier­ten Stel­len kri­tisch unter Daten­schutz­ge­sichts­punk­ten. Bei dem The­ma Cloud-Com­pu­ting für Behör­den mahnt er Zurück­hal­tung an.

Der voll­stän­di­ge Bericht kann auf www​.daten​schutz​-bay​ern​.de online ein­ge­se­hen oder als PDF abge­ru­fen werden.

Der Lan­des­da­ten­schutz­be­auf­trag­te von Meck­len­burg-Vor­pom­mern, Kars­ten Neu­mann hat sei­nen Tätig­keits­be­richt für die Jah­re 2008 und 2009 ges­tern in Schwe­rin der Öffent­lich­keit vorgestellt.

Neu­mann brach­te es klar auf den Punkt: “Im Berichts­zeit­raum 2008 und 2009 haben sich die Mel­dun­gen zum The­ma Daten­schutz förm­lich über­schla­gen. Daten­skan­da­le mach­ten die Run­de und erreich­ten ein Maß an Öffent­lich­keit, wie es die­sem The­ma in den letz­ten Jahr­zehn­ten sel­ten beschert war. Den gesetz­ge­be­ri­schen Bemü­hun­gen ist gegen­wär­tig aller­dings eher eine sym­bo­li­sche als eine wirk­lich über­zeu­gen­de Kraft beizumessen.”

Gene­rell begrü­ße er jedoch das wach­sen­de Inter­es­se und Bewußt­sein der brei­ten Öff­fent­lich­keit am The­ma Daten­schutz. Zustim­men kann man sei­ner Aus­sa­ge, die Angst vor Daten­schutz­skan­da­len sei ein schlech­ter Rat­ge­ber. Unter­neh­men und Behör­den sind hier sicher gefor­dert, nicht nur zur Abwehr von Skan­da­len und dro­hen­den Buß­gel­dern, sich aktiv mit dem The­ma Daten­schutz aus­ein­an­der­zu­set­zen (sie­he auch “Wel­chen Nut­zen hat ein Unter­neh­men von einem Daten­schutz­be­auf­trag­ten?” und “Daten­schutz – Hemm­schuh für Unter­neh­men?”)

Der Land­tag hat das The­ma auf­ge­grif­fen und die Behör­de per­so­nell und insti­tu­tio­nell ver­stärkt. Neu­mann merkt zu Recht an, daß der Aus­bau mit einer zusätz­li­chen Stel­le jedoch nur ein ers­ter Schritt sein kann. Allei­ne der enor­me Anstieg von Peti­tio­nen sei­tens der Bür­ge­rin­nen und Bür­ger auf­grund der gestie­ge­nen öffent­li­chen Wahr­neh­mung hät­te die Behör­de zeit­wei­se fast arbeits­un­fä­hig gemacht. Hier besteht Handlungsbedarf.

Daten­schutz in Behör­den /​ Kom­mu­nen

Wie bereits sein Kol­le­ge für die Thü­rin­ger Kom­mu­nen gro­be Schnit­zer beim Daten­schutz fest­ge­stellt hat , konn­te Neu­mann für Meck­len­burg-Vor­pom­mern ledig­lich ein ähn­lich nega­ti­ves Fazit zie­hen. Zwi­schen 30% und 45% der Behör­den hat­ten bei der letz­ten Über­prü­fung kei­nen Daten­schutz­be­auf­trag­ten bestellt. Cir­ka 20% der Kom­mu­nen kann­ten noch nicht mal die Ein­füh­rungs­emp­feh­lung des Innen­mi­nis­te­ri­ums — und das ein Jahr nach deren Veröffentlichung.

Die Begrün­dun­gen sind haarsträubend:

  • Es habe bis­her noch nie­mand danach gefragt.
  • Es habe sich intern kei­ne geeig­ne­te Per­son dafür gefunden.
  • Es feh­le an der inter­nen Bereit­schaft, eine sol­che Auf­ga­be zu übernehmen.
  • Exter­ne Daten­schutz­be­auf­trag­te sei­en zu teu­er (das Lan­des­da­ten­schutz­ge­setz von MV läßt die exter­ne Bestel­lung für Behör­den zu).
  • Eine exter­ne Bestel­lung sei von den zustän­di­gen poli­ti­schen Gre­mi­en wie z.B. Gemein­de­aus­schüs­sen abge­lehnt worden.
  • Auf­grund der sich stän­dig ändern­den poli­ti­schen Rah­men­be­din­gun­gen wol­le man kei­ne lang­fris­ti­ge Bin­dung /​ Ver­pflich­tun­gen eingehen.

Neu­mann dazu: “Durch die Bank weg waren vor allem das tech­ni­sche Per­so­nal in den Kom­mu­nen, aber auch die in den Mel­de­äm­tern Beschäf­tig­ten Daten­schutz­ge­dan­ken sehr auf­ge­schlos­sen. Über­all bestand in den Gesprä­chen Auf­merk­sam­keit gegen­über Daten­schutz­fra­gen, und es war unein­ge­schränkt die Bereit­schaft fest­zu­stel­len, Daten­schutz­emp­feh­lun­gen nach­zu­kom­men. Anders gele­gent­lich das Lei­tungs­per­so­nal, das in eini­gen Fäl­len sehr reser­viert auf­trat. Das hat­te in die­sen Fäl­len aber auch sei­nen guten Grund, war es doch in der Regel ein schlech­tes Gewis­sen ver­bun­den mit dem Ver­such, die bekann­ten Daten­schutz­män­gel zu ver­ste­cken” (Punkt 6.5 des Tätigkeitsberichtes).

Wei­te­re Themen

Im wei­te­ren beschäf­tigt sich der Bericht mit einem wei­ten Feld an Datenschutzthemen:

  • Goog­le Street View
  • Der neue Personalausweis
  • Volks­zäh­lung /​ Zen­sus 2011
  • Mit­ar­bei­ter­über­wa­chung
  • uvm.

Der Bericht kann kos­ten­los im Inter­net­an­ge­bot der Lan­des­da­ten­schutz­be­hör­de unter www​.daten​schutz​-mv​.de her­un­ter­ge­la­den werden.