Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt

Die schleswig-holsteinische Behörde hatte 2023 den DSK-Vorsitz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden

[datensicherheit.de, 23.04.2024] Die Landesbeauftragte für Datenschutz und Landesbeauftragte für Informationszugang Schleswig-Holstein, Dr. h.c. Marit Hansen, hat nach eigenen Angaben ihren Tätigkeitsbericht für das Jahr 2023 vorgelegt. „Viele Fälle aus der Praxis verdeutlichen, dass Datenschutz wirkt – und wo er manches Mal gefehlt hat. Licht und Schatten gab es auch im Bereich der Informationsfreiheit.“ Eine Besonderheit im Berichtsjahr: „Die schleswig-holsteinische Behörde hatte den Vorsitz in der Datenschutzkonferenz übernommen und war Sprecherin für die gemeinsamen Themen der Datenschutzaufsichtsbehörden – mit großem Erfolg.“

Abbildung: ULD

Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein

Vorsitz der DSK, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder, im Jahr 2023

„Wir liefern!“ – so Dr. Hansen aufgrund ihrer Erfahrungen als Vorsitzende der Datenschutzkonferenz (DSK) im Jahr 2023, bestehend aus den 18 unabhängigen Datenschutzbehörden des Bundes und der Länder. Diese Behörden arbeiteten in der DSK zusammen, um eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

„Im Jahr 2023 hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) den Staffelstab des Vorsitzes vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit übernommen.“

Zu den Schwerpunktthemen im Jahr 2023 gehörten laut Dr. Hansen die Verarbeitung von Gesundheitsdaten, Datenschutz in der Forschung, Datentransfer in Drittstaaten, Scoring, Chat-Kontrolle und der Beschäftigtendatenschutz. Mit dem Positionspapier zu Kriterien für „souveräne Clouds“ habe die DSK Maßstäbe für „Cloud“-Anbieter und -Anwender gesetzt, mit denen eine datenschutzkonforme Nutzung solcher Infrastrukturen gewährleistet werden könne. Sowohl auf nationaler als auch europäischer Ebene habe die DSK Stellungnahmen zu Gesetzgebungsverfahren und zu technischen Entwicklungen abgegeben.

Während es vor etwa zehn Jahren noch ausgereicht hätte, zweimal im Jahr ein Treffen aller Datenschutzaufsichtsbehörden zu organisieren und eine durch die Arbeitskreise vorbereitete Tagesordnung abzuarbeiten, habe Dr. Hansen mit ihrem Team im Berichtsjahr neun Tagungen und 40-mal die wöchentlichen Abstimmungstreffen geleitet. Zahlreiche Entschließungen und Stellungnahmen seien erarbeitet und abgestimmt worden.

Die DSK hat aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen

Dr. Hansen – geprägt durch die Erfahrungen des Vorsitzes – sehnt sich demnach nach einer weiteren Professionalisierung: „Wir brauchen eine Geschäftsstelle als organisatorisches Fundament.“ Die DSK habe aus Gesprächen mit Vertretern der Praxis den Wunsch zur Vereinheitlichung der Datenpannen-Meldungen mitgenommen. Dr. Hansen hält dies für machbar: „Als Maßnahme der Entbürokratisierung könnte die Geschäftsstelle ein Portal für vereinheitlichte Datenpannen-Meldungen bereitstellen. Das ließe sich auch für Meldungen der Datenschutzbeauftragten nutzen.“

Der Weg dahin sei noch weit: „In der aktuellen Reform des Bundesdatenschutzgesetzes soll zwar die Datenschutzkonferenz institutionalisiert werden, doch das bedeutet nach dem bisherigen Gesetzentwurf nur, dass der Begriff in einem neuen Paragrafen genannt und die Mitglieder gesetzlich festgelegt werden.“ Die Verortung einer Geschäftsstelle im Gesetz sei bislang nicht vorgesehen. Dr. Hansen wünscht sich Unterstützung von Bund und Ländern: „Es wird nicht möglich sein, die gestiegenen Erwartungen an die Datenschutzkonferenz, die von außen an uns gestellt werden und die wir an uns selbst stellen, ohne eine Geschäftsstelle zu erfüllen.“

Neben den großen 2023 bearbeiteten Themen enthalte der vorliegende Datenschutzbericht viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein, welche veranschaulichten, wie sich Fehler und die daraus resultierenden Schäden vermeiden ließen. So müssten Dienstleister ihre Auftraggeber über Datenpannen informieren, um den möglichen Schaden einzudämmen.

„Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen.“ Auch vorsätzliches Verhalten sei zu ahnden gewesen, „z.B. wenn Patientendaten bei ,TikTok’ oder ,SnapChat’ auftauchen“.

Zahl der Meldungen von Datenpannen stieg weiter an

Die Zahl der Beschwerden habe sich im Vergleich zu den Vorjahren auf hohem Niveau eingependelt: Im Jahr 2023 seien 1.344 schriftliche Beschwerden eingegangen, etwa ähnlich viele wie im Vorjahr (1.334).

„Die Zahl der Meldungen von Verletzungen des Schutzes personenbezogener Daten (kurz: Datenpannen) stieg weiter an: Mit 527 Meldungen ist die Vorjahreszahl (485) übertroffen worden, doch die durch mehrere Angriffswellen verursachte Höchstzahl von 649 aus dem Jahr 2021 ist noch nicht wieder erreicht worden.“

Datenschutz sei für viele Verantwortliche eine feste Größe geworden – anders als im Jahr 2018, als die Datenschutz-Grundverordnung (DSGVO) Geltung erlangte. Im Prinzip würden die meisten Verantwortlichen und ihre Mitarbeiter ihre Pflichten kennen und wüssten auch, wo sie Hilfestellungen erhalten oder Musterdokumente finden.

„Leider stoßen wir immer wieder auf Fälle, in denen solche Musterdokumente im Ursprungszustand verwendet werden: Dort steht dann ‚Max Mustermann‘ oder ein Lückentext, ohne dass der Verantwortliche überhaupt hineingeschaut oder diese Vorlagen an seine Verarbeitung angepasst hätte.“

Datenschutz teils versehentlich, teils mutwillig ignoriert

Nicht mehr mit Schludrigkeit zu erklären seien Handlungen, „in denen Verantwortliche das Auskunftsrecht sabotieren“. Dr. Hansen zeigt für „Salami-Taktik“ kein Verständnis: „In einem Fall hatte ein Jugendamt dem Antragsteller zwar Einsicht in 600 Seiten gegeben, aber sie waren fast vollständig geschwärzt. Auf mehrfache Nachfrage und nach Einschaltung meiner Behörde wurde dann Stück für Stück eingeräumt, dass doch sehr viel mehr Daten im Rahmen der Auskunft herausgegeben werden mussten.“

Auch im Beschäftigtendatenschutz habe sich in den im Berichtsjahr untersuchten Fällen gezeigt, dass Datenschutz teils versehentlich, teils mutwillig ignoriert worden sei – „dies reichte vom Bewerbungsgespräch bis zur Kündigung“. Dr. Hansen erwartet, dass die Bundesregierung in Kürze einen Entwurf für ein Beschäftigtendatenschutzgesetz vorstellt: „In diesem Bereich brauchen wir mehr Rechtssicherheit – sowohl für Arbeitgeber als auch für die Beschäftigten.“

Die meisten Beschwerden hätten sich gegen eine Video-Überwachung gerichtet, „der sich die betroffenen Personen ausgesetzt sehen“. Mit 256 schriftlichen Beschwerden sei im Berichtsjahr eine neue Höchstzahl erreicht worden (Vorjahr: 188 im nicht-öffentlichen und drei im öffentlichen Bereich).

Die Zahl der Beratungen sei mit 63 gegenüber dem Vorjahr leicht erhöht gewesen (Vorjahr: 60). Für viele Fallkonstellationen in diesem Massengeschäft sei das ULD jedoch nicht der richtige Ansprechpartner, sondern müsse die Beschwerdeführer auf den Weg der Zivilklage verweisen.

Datenverarbeitungssysteme sollten über „Informationsfreiheit by Design“ verfügen

Dr. Hansen ist auch die Landesbeauftragte für Informationszugang. Mit der Reform des Informationszugangsgesetzes Schleswig-Holstein sei für die Landesbeauftragte für Informationszugang ein Recht auf Beanstandung eingeführt worden, von dem sie seitdem mehrfach Gebrauch gemacht habe.

Immer noch würden viele informationspflichtige Stellen das Recht auf Informationszugang nicht kennen – oder sie sperrten sich gegen eine Herausgabe der Daten. Dr. Hansen bedauert dies: „Schade, dass die Kultur für Transparenz und bessere Nachvollziehbarkeit des Verwaltungshandelns noch keine Selbstverständlichkeit ist.“ Damit die verwendeten Datenverarbeitungssysteme die Mitarbeiter bei der Erfüllung der Anträge auf Informationszugang unterstützen und die Arbeit dabei erleichtern, setzte sich die Behörde für „Informationsfreiheit by Design“ ein.

Für die Zukunft seien die Veränderungen im europäischen und nationalen Datenrecht bereits erkennbar, die sich auf Datenschutz und Informationsfreiheit auswirkten. Dazu gehöre ebenso das Paradigma des verstärkten Datenteilens und Datennutzens wie die Regulierung der Künstlichen Intelligenz (KI). Bei all diesen neuen Verarbeitungen würden personenbezogene Daten eine Rolle spielen – „die Datenschutzaufsichtsbehörden werden daher einzubeziehen sein“.

Dr. Hansen kommentiert diese Entwicklung: „Mit der Datenschutzkonferenz haben wir ein bewährtes Instrument, um beim Datenschutz mit einer Stimme zu sprechen. Genau dies wird auch nötig sein, wenn es um die rechtssichere Anwendung von KI-Systemen geht. Ein Wirrwarr von Aufsichtsstrukturen sollte vermieden werden.“

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 31.12.2023
Tätigkeitsbericht 2024 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein