Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit übergab den Report an die Bürgerschaftspräsidentin

[datensicherheit.de, 16.04.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat laut einer eigenen Meldung vom 15. April 2024 seinen „Tätigkeitsbericht Datenschutz 2023“ vorgestellt: Die Beschwerden nähmen zu – die Unternehmen vernachlässigten häufig die Löschpflichten. Im Hamburger Rathaus übergab der HmbBfDI, Thomas Fuchs, seinen Tätigkeitsbericht an die Bürgerschaftspräsidentin, Carola Veit.

Abbildung: HmbBfDI

„Tätigkeitsbericht Datenschutz 2023“ in Hamburg vorgestellt

KI-Verordnung: Aufsicht sollte bei Datenschutzbehörden liegen

Zur kürzlich verabschiedeten KI-Verordnung (KI-VO) behandelt der Tätigkeitsbericht 2023 demnach eine entscheidende Frage in der Einleitung: „Wer wird in Deutschland die Aufsicht über deren Einhaltung übernehmen?“

Fuchs benennt hierzu eine klare Zuständigkeit:„Meines Erachtens kommen für die Aufsicht über die Anwendung von KI-Systemen nur die Datenschutzaufsichtsbehörden in Betracht. Wir kennen die IT-Systeme der Behörden und Unternehmen, insoweit sie personenbezogene Daten verarbeiten.“ Er warnt: „Neue Aufsichtsstrukturen führen nur zu mehr Bürokratie für die Anwender.“

Bei wichtigen politischen Themen sind Datenschutzbehörden laut KI-VO ohnehin zuständig

Bei wichtigen politischen Themen würden die Datenschutzbehörden nach der KI-VO ohnehin zuständig sein. „Wenn KI zur Strafverfolgung oder in Migrationsfragen eingesetzt wird oder Wahlen beeinflussen könnte, werden Datenschutzbehörden die Aufsicht führen.“

Fuchs fordert: „Diese Aufsicht sollte zu einer allgemeinen Zuständigkeit vervollständigt werden: So würden konkrete Risiken beim Einsatz von KI-Produkten, wie Gefährdungen für Gesundheit, Sicherheit und Grundrechtsschutz aus einer Hand kontrolliert werden.“

Zunahme der gemeldeten Datenschutz-Verletzungen…

Die Zahl der Beschwerdeverfahren habe wieder zugenommen und liege mit 2.537 Fällen knapp 20 Prozent über dem Vorjahreswert von 2.160. Dieser Anstieg sei größtenteils auf eine wachsende Zahl von Beschwerden im Zusammenhang mit Produkten von „Meta“ und „Google“ und die federführende Rolle des HmbBfDI in Deutschland für diese Unternehmen zurückzuführen.

Weiter ansteigend seien auch die gemeldeten Datenschutz-Verletzungen: „Nach 859 Fällen im Vorjahr stieg die Zahl der Data-Breach-Meldungen auf insgesamt 925, die Zahl gemeldeter Hacker-Angriffe auf 235 (im Vorjahr 227). Nur zur Erinnerung: Im Jahr 2019 gab es in Hamburg nur 74 gemeldete Hacker-Angriffe.“ Zudem habe der HmbBfDI 20 Bußgeldverfahren im Jahr 2023 eingeleitet.

Unternehmen vernachlässigen Löschpflichten für nicht mehr genutzte Datenbestände mit Personenbezug

Zahlreiche, auch aktuelle, Verfahren des HmbBfDI beträfen gravierende Fehler von Unternehmen im Umgang mit veralteten Datenbeständen. „So werden nicht mehr genutzte Datenbestände mit Personenbezug, wie etwa Ausweiskopien oder Finanzdaten, nicht gelöscht, obwohl der Zweck der Datenverarbeitung schon lange entfallen ist.“ Dies sei nicht nur eine Verletzung der DSGVO, sondern auch Ausdruck eines mangelhaften Datenmanagements, welches der HmbBfDI in den verschiedensten Branchen, von Inkasso-Diensten bis zum Gastgewerbe, beobachtet habe.

Ein Löschkonzept gehöre zur datenschutzrechtlichen Grundausstattung jeder datenverarbeitenden Stelle. Dafür brauche es bereits vor der Erhebung eine Bestandsaufnahme, „welche Daten überhaupt gesammelt werden und wie lange sie voraussichtlich benötigt werden“. Eine weitere Aufbewahrung ohne konkreten Zweck verletze die Rechte der Betroffenen. Fuchs kommentiert: „,Old Data’ ist nicht ,Big Data’: Wenn die Kundenbeziehung endet, sind die erhobenen Daten je nach Typ sofort oder nach festgelegten Fristen zu löschen.“

Datenschutzaufsicht übernimmt gestaltende Rolle

Immer stärker komme die gestaltende Rolle der Datenschutzaufsichtsbehörden zum Tragen und lasse sich an konkreten Projekten ablesen: „So konnte Google im Jahr 2023 seinen Dienst ,Street View’ durch neue Aufnahmen aktualisieren. Aufgrund großen Widerstands gegen die Aufnahmen im Jahr 2010 war der Dienst in Deutschland seitdem nicht mehr erneuert worden, so dass Gebäude jüngeren Datums, wie beispielsweise die Elbphilharmonie, nicht auffindbar waren.“

Der HmbBfDI habe für diese Aktualisierung frühzeitig klare Regeln vereinbart, welche das Recht der Bürger auf Informationelle Selbstbestimmung – in diesem Fall die Weigerung, das eigene Haus abbilden zu lassen – durch ein umfassendes Widerspruchsrecht gesichert hätten, aber „dem Unternehmen zugleich die Nutzung der geduldeten Bilder ermöglichten“. Auch in anderen Fällen, etwa bei der Ausgestaltung von sogenannten Pur-Abo-Modellen, hätten mit betroffenen Unternehmen datenschutzkonforme Lösungen gefunden werden können.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
TÄTIGKEITSBERICHT DATENSCHUTZ 2023