Aktueller ULD-Datenschutzbericht: Viel zu wenig aus Fehlern und Pannen gelernt!

Landesbeauftragte für Datenschutz Schleswig-Holstein hat Tätigkeitsbericht für 2021 vorgelegt

[datensicherheit.de, 23.02.2022] Die Landesbeauftragte für Datenschutz Schleswig-Holstein, Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2021 vorgelegt. Dieser greift demnach zahlreiche Themen des Datenschutzes und der Informationsfreiheit auf, mit denen sich das Unabhängige Landeszentrum für Datenschutz (ULD) 2021 beschäftigt hatte. Wiederkehrende Probleme seien der Missbrauch vorhandener Daten, Rechtsverstöße aus Unachtsamkeit und viele Datenpannen.

Foto: ULD Schleswig-Holstein

Marit Hansen: Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund…

Anfragen und Beschwerden zu einer breiten Palette von Themen, alle möglichen Formen der Verarbeitung von Daten betreffend

Wie schon 2020 sei ihre Tätigkeit im Jahr 2021 von der „Pandemie“ geprägt gewesen: „,Corona‘ und Datenschutz, ,Corona‘ und Informationsfreiheit – aber wir bekamen auch wieder Anfragen und Beschwerden zu einer breiten Palette von Themen, die alle möglichen Formen der Verarbeitung von Daten betrafen.“ Das ULD habe 1.464 Beschwerden zu mutmaßlichen Datenschutzverstößen erhalten, weitere 712 Beratungsanfragen seien bearbeitet worden.

Dies entspreche etwa den Zahlen des Jahres 2020. Eine Zunahme um 50 Prozent sei im Bereich der Informationsfreiheit zu verzeichnen gewesen, in dem das ULD in 78 Fällen eingeschaltet worden sei – „und häufig erreichen konnte, dass mehr Informationen herausgeben wurden“.

Hansen sieht dies als Ansporn zur Verbesserung der Situation im Land, denn: „Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund. Die Nachvollziehbarkeit des Behördenhandelns hat aber gerade in ,Pandemie‘-Zeiten an Wichtigkeit gewonnen.“

Im Vergleich zu 2020 stieg 2021 Zahl der Datenpannen-Meldungen um etwa 60 Prozent

In einem anderen Bereich sehe man ebenfalls einen auffälligen Zuwachs, so Hansen: „Im Vergleich zum Vorjahr stieg die Zahl der Datenpannen-Meldungen um etwa 60 Prozent. Dennoch zeigt sich in unseren Prüfungen, dass es noch immer Fälle gibt, in denen die Verantwortlichen ihrer Meldepflicht nicht nachgekommen sind.“

Die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten – kurz: „Datenpannen“ – sei eine rechtliche Anforderung und müsse von den Verantwortlichen umgesetzt werden. Ihre Dienststelle werbe aber auch dafür, diese Pflicht als Chance zu begreifen, damit alle Beteiligten aus den Fehlern lernen könnten. Denn: „Hinterher ist man immer schlauer“ gelte ja nur dann, wenn die Verantwortlichen feststellen könnten, was schiefgelaufen ist, und wenn sie daraus abgeleitete Maßnahmen treffen, „damit sich die Datenschutzverletzungen nicht wiederholen“.

Im vorliegenden Tätigkeitsbericht fänden sich viele Beispiele für Datenpannen. Hansen kommentiert: „Unser Bericht dient auch dazu, dass alle aus Fehlern lernen können, die passiert sind. Diese Beispiele können dabei helfen, das Risiko zu bewerten, das mit der Verarbeitung personenbezogener Daten in der eigenen Firma oder Behörde verbunden ist, und geeignete Gegenmaßnahmen zu treffen.“

Sich immer wieder verändernde Corona-Regelungen haben zur Verunsicherung bei der Datenverarbeitung geführt

Das Titelbild des Tätigkeitsberichts zeige dieses Jahr ein Labyrinth, dessen Wände mit schwarz-weißen QR-Codes gepflastert seien – „ein Sinnbild für die Komplexität unseres Lebens mit oft nur schwer durchschaubaren Regeln, in dem sich viele nur mit Mühe zurechtfinden“. Ebenso komplex sei die Technikwelt mit dem sich dynamisch ändernden Zusammenspiel diverser Hard- und Softwarekomponenten. Technik könne helfen, Technik bringe aber auch neue Risiken mit sich.

Selbst das simple Beispiel der QR-Codes verdeutliche das Problem des Verstehens, denn Menschen könnten nicht direkt ersehen, welche Daten darin enthalten sind, sondern müssten das Muster erst per Smartphone scannen. „Und: Wer bei einer Einlasskontrolle einen solchen QR-Code etwa als Impfnachweis vorzeigt, weiß nicht, ob dieser beim Scannen lediglich gelesen und die Gültigkeit geprüft wird oder ob der Code kopiert und die ausgelesenen Informationen gespeichert werden.“

Auch die sich immer wieder verändernden „Corona“-Regelungen haben im „Pandemie“-Jahr 2021 zu einer Verunsicherung bei der Datenverarbeitung geführt: „Wie muss mit Kontaktdaten umgegangen werden? Was ist aus Datenschutzsicht bei der Prüfung von Impf-, Genesen- und Testnachweisen zu beachten?“ Beim ULD seien viele Beschwerden eingegangen, „wenn Verantwortliche personenbezogene Daten beispielsweise von Gästen oder Beschäftigten verlangten, die gar nicht erforderlich waren, oder wenn das Risiko bestand, dass unbefugt auf sensible Daten zugegriffen werden konnte“.

Einige der Datenpannen betrafen -verarbeitung rund um das Impfen oder Testen

Einige der eingetretenen Datenpannen hätten sich auf Verarbeitungen rund um das Impfen oder Testen bezogen, andere mit dem Arbeiten im Home-Office zusammengehangen, „z.B. die Fälle, in denen Akten oder Datenträger auf dem Transport zwischen Dienstort und dem Zuhause abhandenkamen“. Offene E-Mail-Verteiler, Fehladressierungen oder verlorene unverschlüsselte USB-Sticks gehörten zu den Dauerthemen bei den Datenpannen-Meldungen. Der große Anstieg der Meldezahlen habe sich aber aus mehreren Wellen von Angriffen über das Internet auf Server von Firmen und Behörden ergeben, bei denen personenbezogene Daten betroffen gewesen seien.

Hansen unterstreicht: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können. Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind. Einige Akteure haben ein Interesse daran, Sicherheitslücken zu kultivieren statt sie zu schließen – dies ermöglicht dann ein heimliches Infiltrieren von Smartphones und Ausspionieren von Menschen mit Überwachungssoftware wie ‚Pegasus‘, die in vielen Ländern zum Einsatz kommt.“

Sie sieht darin einen Verstoß gegen das Grundrecht auf Gewährleistung der Vertraulichkeit sowie Integrität informationstechnischer Systeme – und fordert daher: „Datenschutz und Sicherheit müssen eine Selbstverständlichkeit bei jeder Verarbeitung personenbezogener Daten sein.“

Verantwortliche müssen eigene Prozesse datenschutzgerecht gestalten!

Für die Verantwortlichen bedeute dies, „dass ihre eigenen Prozesse datenschutzgerecht zu gestalten sind“. Bei der Auswahl von Produkten und Dienstleistern müssten sie sorgfältig vorgehen und Datenschutzkonformität einfordern. Wichtige Ansprechpartner seien die Datenschutzbeauftragten im Unternehmen oder in der Behörde. Das bewusst missbräuchliche Verwenden von personenbezogenen Daten und das absichtliche Verstoßen gegen das Recht durch Verantwortliche und deren Dienstleister würden in der täglichen Arbeit des ULD, dessen Zuständigkeitsbereich auf Schleswig-Holstein beschränkt sei, vergleichsweise selten festgestellt.

Sehr viel häufiger seien solche Fälle, in den die Verantwortlichen unachtsam gewesen seien oder die Datenschutzanforderungen grob fahrlässig ignoriert hätten. Zu den am meisten nachgefragten Bereichen gehört die Videoüberwachung (179 Beschwerden, 36 Beratungsanfragen). Auch Datenschutz-Fehler bei der Website-Gestaltung – etwa durch ein unzulässiges Einbinden problematischer Tracking-Technik – seien mittlerweile stärker in den Fokus gelangt, beispielsweise im Rahmen der länderübergreifenden Branchenprüfung im Bereich Medien.

Die rechtlichen Anforderungen und Hinweise zur korrekten Umsetzung ließen sich den Orientierungshilfen, Leitlinien und Informationsbroschüren entnehmen, „die auf den Webseiten der Aufsichtsbehörden abrufbar sind und regelmäßig aktualisiert werden, wenn sich Gesetze ändern (im Jahr 2021 mit der Einführung des Telekommunikations-Telemedien-Datenschutzgesetz) oder gerichtliche Entscheidungen zu den Sachverhalten rechtskräftig werden“.

Wissensvermittlung und Sensibilisierung zum Datenschutz und zur Informationsfreiheit

Ein weiterer wichtiger Bereich des ULD im Jahr 2022 sei die Wissensvermittlung und Sensibilisierung zu den Themen Datenschutz und Informationsfreiheit über die Datenschutzakademie in Kursen, für Schulklassen und in Präsenzveranstaltungen wie der „Sommerakademie“. Nach dem der „Pandemie“ geschuldeten Aussetzen in den letzten beiden Jahren solle diese Konferenz nun am 12. September 2022 unter dem Thema „Informationsfreiheit by Design – und der Datenschutz?!“ stattfinden.

Das diesjährige Thema sei passend dazu gewählt, dass die Landesbeauftragte für Datenschutz für das Jahr 2022 den jährlich wechselndem Vorsitz der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder übernommen habe. Schleswig-Holstein leiste mit seinem Informationszugangsgesetz, dem Transparenzportal und den Open-Data-Initiativen einen bedeutenden Beitrag für eine bessere Nachvollziehbarkeit des Verwaltungshandelns und für Transparenz. Die häufigsten Fragen aus der Praxis beantworte das ULD in einer neuen Informationsbroschüre.

Hansen freue sich auf den kommenden Austausch mit Bund und Ländern sowie mit weiteren Initiativen und Akteuren. „Am besten werden Technik und Prozesse von Anfang an so gestaltet, dass sowohl Datenschutz- als auch Informationsfreiheitsanforderungen berücksichtigt werden“, betont die als Landesbeauftragte für beide Bereiche Zuständige. „Das Ziel sind praxistaugliche Umsetzungen, um die Wahrnehmung des Rechts auf Informationszugang sowohl für die Antragstellenden als auch für diejenigen, die die Informationen bereitstellen müssen, zu erleichtern. Klar: mit Datenschutz!“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Tätigkeitsbericht 2022 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein / Berichtszeitraum: 2021