01

Kernpunkte:

  • Instrumentenkoffer der Aufsicht
  • Behördliche und betriebliche Datenschutzbeauftragte als Fundament
  • Datenpannen ernst nehmen

 

1    Datenschutz und Informationsfreiheit

In unserem Tätigkeitsbericht haben mein Team und ich die wichtigsten und interessantesten Themen und Fälle im Jahr 2020 aus den Bereichen Datenschutz und Informationsfreiheit zusammengestellt, um Ihnen einen Eindruck unserer Arbeit und Erfolge zu vermitteln. Dieses Jahr stand stark unter dem Eindruck der Coronapandemie: Die Bedrohungen durch das Virus SARS-CoV-2 haben große Unsicherheiten für die Bevölkerung, Firmen und Behörden mit sich gebracht. Immer wieder musste die Lage neu eingeschätzt werden. Dies betrifft auch den Umgang mit Grundrechten wie dem Datenschutz. Dieses Thema mit vielfältigen Facetten durchzieht daher den vorliegenden Bericht: Wie sieht Datenschutzkonformität bei der Verarbeitung personenbezogener Daten in der Pandemiesituation aus?

Zum Bericht gehören selbstverständlich auch die Prüfungen, die meine Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) durchgeführt hat – wobei fast überall erhebliche Mängel sichtbar wurden. Die meisten Verantwortlichen haben schnell reagiert, um die Mängel abzustellen.

In dem Berichtsjahr stand auch die Wahl der oder des Landesbeauftragten für Datenschutz auf der Tagesordnung der Parlamentarier. Ich wurde in der Landtagssitzung vom 18.06.2020 für meine zweite Amtszeit wiedergewählt. Ministerpräsident Daniel Günther hat mir die Ernennungsurkunde am 28.09.2020 überreicht. Das war zugleich der erste Tag meiner zweiten sechsjährigen Amtszeit.

Eines ist jetzt schon klar – und das zeigt sich schon beim Durchblättern unseres Tätigkeitsberichts: Die interessanten Themen werden in den nächsten sechs Jahren nicht ausgehen. Es gilt, die fortschreitende Digitalisierung im Sinne der Grundrechte und Menschenrechte zu gestalten. Für die Themen Datenschutz und Informationsfreiheit werden wir uns dabei weiterhin im Rahmen unserer Aufgaben und Zuständigkeiten einbringen.

Ich wünsche Ihnen eine interessante Lektüre unseres Tätigkeitsberichts!

Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein

 

1.1          Jahresthema: Corona

Es erstaunt wohl niemanden, dass die Arbeit einer Datenschutzbehörde stark von den Auswirkungen der Coronapandemie geprägt wird.

Welche Eingriffe sind verhältnismäßig, welche nicht? Gibt es mildere Mittel, um das Ziel der Pandemiebekämpfung zu erreichen? Braucht man neue Datenbanken im Gesundheitswesen? Wie funktioniert ein sicherer Austausch der Daten, wie werden Zugriffsberechtigungen nachgewiesen? Welche Techniken, die Homeoffice oder Homeschooling unterstützen, sind datenschutzkonform? Muss man wirklich die betrieblichen und behördlichen Datenschutzbeauftragten einbeziehen, wenn man die Prozesse zur Verarbeitung personenbezogener Daten ändert? Wenn – wie bei der Kontaktdatenerfassung – zwangsweise Daten gesammelt werden müssen, darf man diese Daten nicht auch zu anderen wirtschaftlichen Zwecken nutzen? Und warum sollte nicht auch die Polizei auf alle Daten zugreifen können? Basiert die Corona-Warn-App wirklich auf datenschutzfreundlichen Konzepten? Ohne Standortdaten kann das nicht funktionieren, oder? Würden Sie die App nutzen?

Solche Fragen haben wir bald täglich erhalten. Einiges ließ sich schnell beantworten, für andere Sachverhalte waren tiefgründigere Prüfungen nötig. Aber auch hier waren die Mitarbeiterinnen und Mitarbeiter mit besonderem Einsatz und unter Berücksichtigung eiliger Fristen tätig. Umso unverständlicher, dass auch im Jahr 2021 noch in Talkshows kolportiert wird, Datenschutz würde Gesundheitsschutz verhindern. In jedem konkreten Fall ließen sich vermeintliche Konflikte auflösen, sobald genau die Zwecke, die geplanten Verarbeitungen, die Beteiligten und die Verantwortlichkeiten kommuniziert wurden.

Auf der Ebene der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben wir im April 2020 klargestellt, dass auch in Krisenzeiten die Datenschutzgrundsätze gelten, und geeignete Garantien zum Schutz der betroffenen Personen – das ist die ganze Bevölkerung – eingefordert.

Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 03.04.2020: Datenschutzgrundsätze bei der Bewältigung der Coronapandemie:

https://www.datenschutzkonferenz-online.de/media/en/Entschließung Pandemie 03_04_2020_final.pdf
Kurzlink: https://uldsh.de/tb39-1-1

Coronathemen spiegeln sich auch in unserer Tätigkeit und in diesem Bericht wider:

Coronamaßnahmen in der Verwaltung wie Fragebögen (Tz. 4.1.1) oder Temperaturmessung beim Rathausbesuch (Tz. 4.1.2), Kontaktdatenerfassung in der Justiz (Tz. 4.3.2) und in der Wirtschaft (Tz. 5.3) mit zahlreichen Einzelproblemen (Tz. 5.4.1, Tz. 5.4.2), auch im Vereinsleben (Tz. 5.4.3), Fragen der Zugriffsmöglichkeiten auf Kontaktdaten durch die Polizei (Tz. 4.2.4), WLAN-Nutzung für die Corona-„Strandampel“ (Tz. 7.1), datenschutzkonforme App-Entwicklung (Tz. 8.1) und unsere Aussagen der Datenschutzaufsichtsbehörden in Europa zur Kontaktnachverfolgung (Tz. 11.1).

Hinzu kommen Digitalisierungsvorhaben, die eingeführt werden, um einen Ersatz für Präsenztreffen und Anwesenheit vor Ort zu bieten: Ton- und Videoaufnahmen in kommunalen Sitzungen (Tz. 4.1.3), digitaler Schulunterricht (Tz. 4.1.5), Online-Prüfung von Sozialdaten (Tz. 4.4.1), Videokonferenzsysteme (Tz. 6.3.2) sowie die Bedingungen für Homeoffice (Tz. 6.3.3), damit Datenpannen im Lockdown (Tz. 5.5.1) vermieden werden.


Was ist zu tun?
Die Landesbeauftragte für Datenschutz steht mit ihrem Team bereit, um die weiterhin drängenden und sich immer wieder in neuen Situationen stellenden Fragen zu Datenschutz bei Coronamaßnahmen und zur fortschreitenden Digitalisierung zu klären, um Lösungen zu finden, bei denen die Grundrechte der Menschen auch in der Pandemiesituation gewahrt werden.

 

1.2          Zahlen und Fakten zum Jahr 2019

Die pandemiebedingten Lockdown-Zeiten im Jahr 2020 haben nicht dazu geführt, dass Beschwerden oder Datenpannen ausgeblieben sind. In fast allen Bereichen ist sogar eine Zunahme zu verzeichnen:

2020 erreichten uns 1.497 schriftliche Beschwerden (Vorjahr: 1.194), von denen 278 (Vorjahr: 235) nicht in unserer Zuständigkeit (öffentliche und nichtöffentliche Stellen in Schleswig-Holstein mit Ausnahme bestimmter Bereiche in Bundeszuständigkeit, z. B. Telekommunikation) lagen und an die zuständigen Behörden abgegeben werden mussten.

Da bei uns erhobene Beschwerden zunehmend einen grenzüberschreitenden Sachverhalt oder Verantwortliche in anderen Mitgliedstaaten betreffen, werden regelmäßig Fälle an die zuständigen Aufsichtsbehörden anderer Mitgliedstaaten zur alleinigen oder federführenden Bearbeitung abgegeben. Im Jahr 2020 betraf dies u. a. die Aufsichtsbehörden in Dänemark, Frankreich, Irland, Italien, Schweden und dem Vereinigten Königreich (UK).

Bearbeitete Beschwerden 2020

Insgesamt wurden in eigener Zuständigkeit 1.219 (Vorjahr: 959) Beschwerden bearbeitet, davon richteten sich mehr als zwei Drittel der Beschwerden gegen Unternehmen und andere nichtöffentliche Stellen (812; Vorjahr: 680), der Rest gegen Behörden (407; Vorjahr: 279). Dazu kamen 808 (Vorjahr: 758) Beratungen für den öffentlichen und den nichtöffentlichen Bereich.

Ohne vorherige Beschwerde wurden 8 (Vorjahr: 10) Prüfungen im öffentlichen und 5 (Vorjahr: 13) im nichtöffentlichen Bereich begonnen und neue Verfahren eingeleitet; zahlreiche Prüfungen aus dem Vorjahr wurden fortgeführt.

Die Zahl von 406 (Vorjahr: 349) gemeldeten Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO (Datenpannen) ist zwar schon recht hoch – an jedem Arbeitstag erreichen uns mehrere Meldungen oder nähere Erläuterungen zu schon getätigten Meldungen. Dennoch erfahren wir auch immer wieder von Datenpannen, bei denen die Verantwortlichen der Meldepflicht nicht nachgekommen sind.

Bearbeitete Meldungen nach Art. 33 DSGVO

Von den Abhilfemaßnahmen als Reaktion auf festgestellte Verstöße gegen das Datenschutzrecht wurde im Berichtsjahr insgesamt wie folgt Gebrauch gemacht:

  • 42 Warnungen (Vorjahr: 37),
  • 50 Verwarnungen (Vorjahr: 26),
  • 13 Anordnungen zur Änderung oder Einschränkung der Verarbeitung (Vorjahr: 2).

Eine Geldbuße wurde im Jahr 2020 (wie auch im Jahr 2019) nicht verhängt.

Nach unserem Eindruck wird die Dienststelle der Landesbeauftragten für Datenschutz in Gesetzgebungsvorhaben auf Landesebene schon weitgehend eingebunden, wenn Aspekte des Datenschutzes oder des Informationszugangs betroffen sein könnten. Dies geschah im Berichtsjahr über die Arbeitsebene parallel zur Anhörung von Verbänden oder über die Ausschüsse im Landtag in 25 (Vorjahr: 39) neuen Gesetzgebungsvorhaben; ein Teil der Vorjahresbeteiligungen erstreckte sich zudem auf das Jahr 2020.

 

1.3          Digitalisierung in Schleswig-Holstein

Schleswig-Holstein hat Digitalisierung als ein wichtiges Thema erkannt – nicht erst seit der Coronapandemie: Im Jahr 2020 wurden aus der Notwendigkeit, die persönlichen Treffen zu reduzieren und das Arbeiten zumindest teilweise ins Homeoffice zu verlagern, digitale Möglichkeiten zur Kommunikation und Kooperation stark nachgefragt. Dies betraf zahlreiche Bereiche, beispielsweise Bildung, Gesundheit, Politik, Verwaltung und Wirtschaft.

Kollisionen der kurzfristig zu erfüllenden Bedarfe mit den längerfristigen Planungen, die seit Jahren verfolgt werden, waren nicht zu vermeiden. Auch mussten Prioritäten verändert werden. Ein Beispiel ist die grundsätzliche Beschäftigung mit dem Thema der künstlichen Intelligenz (KI): In dem Beirat „KI@Gesellschaft“ diskutieren seit Juni 2020 elf von der Staatskanzlei eingeladene Expertinnen und Experten, darunter auch die Landesbeauftragte für Datenschutz, notwendige Änderungen des Rechtsrahmens und ethische Leitlinien für die Anwendung von KI. Dort sollen „ein Zielbild für den gesellschaftsdienlichen, unschädlichen Einsatz von KI“ und „Positionspapiere für den Einsatz von künstlicher Intelligenz in bestimmten Anwendungsfällen, beispielsweise in der Medizin“ erarbeitet werden.

Die ehrgeizige Zeitplanung sah mehrere Sitzungen und schnelle Ergebnisse vor, doch die Treffen konnten großenteils nicht wie geplant stattfinden. Immerhin konnten sich Bürgerinnen und Bürger anlässlich der öffentlichen Sitzung des Expertenrats auf der „Digitalen Woche Kiel“ im September einen ersten Eindruck über die vielfältigen Themen verschaffen, mit denen sich der Beirat beschäftigt. Die Arbeiten werden im Jahr 2021 fortgesetzt.

https://www.schleswig-holstein.de/DE/Landesregierung/Themen/Digitalisierung/Kuenstliche_Intelligenz/KI_Strategie/_documents/gesellschaft.html
Kurzlink: https://uldsh.de/tb39-1-3

Von besonderer Bedeutung und mit Strahlkraft über die Landesgrenzen hinaus ist außerdem die Open-Source-Strategie des Landes (37. TB, Tz. 1.3), die sich über die letzten Jahre weiterentwickelt hat. Wir begrüßen die Initiative der Landesregierung zur Umstellung auf Open Source, auch und gerade im Sinne einer digitalen Souveränität (Tz. 2.1) und zum Nutzen des Datenschutzes.

 

Was ist zu tun?
Schleswig-Holstein kann positive Impulse für eine Digitalisierung setzen, die gut für Mensch und Gesellschaft ist. Gern unterstützen wir dabei.

 

1.4          Fortschreiben der gesetzlichen Regelungen zu Datenschutz und Informationsfreiheit

Bei der Anwendung von Gesetzen kann man viel lernen – insbesondere wenn es in der Praxis hakt oder in Einzelfällen die Intention des Gesetzgebers ins Gegenteil verkehrt scheint, weil Formulierungen missverständlich gewählt wurden. Wird man dieser Probleme gewahr, sollte der Gesetzgeber nachbessern. Um dies nicht dem Zufall zu überlassen, sehen zahlreiche Gesetze mittlerweile Evaluationsklauseln vor, darunter auch die Datenschutz-Grundverordnung, das Bundesdatenschutzgesetz und das Landesdatenschutzgesetz Schleswig-Holstein.

Den Auftakt machte die Evaluation der DSGVO. Der Evaluationsbericht war eigentlich schon im Mai erwartet worden (38. TB, Tz. 2.4), doch dies verschob sich auf Juni 2020. Im Ergebnis bestätigt der Bericht, dass die DSGVO zurzeit unverändert bleiben soll. Allerdings wurde in der Evaluation festgestellt, dass noch nicht das volle Potenzial der DSGVO ausgeschöpft wird. Der Bericht fordert insbesondere, dass die vorgesehenen Instrumente in vollem Umfang genutzt werden sollen. Betrachtet wurde auch die Umsetzung der DSGVO in den Mitgliedstaaten, wo Baustellen erkannt wurden, wenn die Staaten europäische Regelungen gar nicht oder fehlerhaft umgesetzt haben. Im Evaluierungsbericht wird gefordert, „ein harmonisiertes Konzept und eine gemeinsame europäische Datenschutzkultur“ zu schaffen und „eine effizientere und einheitlichere Bearbeitung grenzüberschreitender Fälle“ zu fördern.

In diesem Sinne werden den Mitgliedstaaten, dem Europäischen Datenschutzausschuss und den Datenschutzbehörden sowie der Kommission selbst zahlreiche Aufgaben ins Stammbuch geschrieben, die im nächsten Evaluationsbericht im Jahr 2024 besondere Beachtung finden werden.

EU-Kommission: Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung:

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020DC0264
Kurzlink: https://uldsh.de/tb39-1-4

Auch für das BDSG steht eine Evaluierung an, an der wir uns aufgrund unserer Erfahrungen in der Anwendung ab Ende 2020 beteiligen.

Im LDSG Schleswig-Holstein findet sich ebenfalls eine Evaluierungsklausel: Erste Besprechungen zu dem Themenkreis haben bereits stattgefunden; im Jahr 2021 werden sicherlich weitere Punkte erörtert werden.

§ 16 IZG-SH
Die Landesregierung überprüft die Auswirkungen dieses Gesetzes mit wissenschaftlicher Unterstützung. Sie legt dem Landtag dazu in den Jahren 2020 und 2025 einen Bericht vor. Die oder der Landesbeauftragte für Datenschutz ist vor der Zuleitung der Berichte an den Landtag zu unterrichten; sie oder er gibt dazu eine Stellungnahme ab.

Änderungen wären aus unserer Sicht im Bereich Informationsfreiheit, nämlich im Informationszugangsgesetz Schleswig-Holstein (IZG-SH) sinnvoll oder sogar erforderlich. Dies erläutern wir in dem Kapitel 12 zur Informationsfreiheit (Tz. 12.1 und Tz. 12.6).

Auch hier gibt es übrigens eine Evaluationsklausel, nach der eigentlich ein Bericht für das Jahr 2020 vorgesehen war – hier muss es wohl Verzögerungen gegeben haben. Wir werden in diesem Zusammenhang unsere Erfahrungen einbringen – spätestens in unserer Stellungnahme zu dem Berichtsentwurf, die wir nach § 16 IZG-SH vor der Zuleitung an den Landtag abgeben werden.

 

Was ist zu tun?
Wird bei der Evaluation der Gesetze ein Änderungsbedarf festgestellt, sollten die nötigen Nachbesserungen zügig umgesetzt werden.


1.5          Grundrechtskonforme Gestaltungsanforderungen auch international sichtbar

Maßgeblich für unsere Tätigkeiten sind die rechtlichen Grundlagen auf EU-, Bundes- und Landesebene. Aber auch international lohnt es sich, Anforderungen an grundrechtskonforme Gestaltung von IT-Systemen zu kommunizieren. Allerdings können wir als Landesbehörde an den internationalen Konferenzen der Datenschutzbeauftragten und der Informationsfreiheitsbeauftragten nur im Ausnahmefall teilnehmen. Durch Zuarbeiten an die jeweiligen deutschen Vertreterinnen und Vertreter von Bund und Ländern gelingt es dennoch immer wieder, unsere Punkte einzubringen – auch wenn es manchmal länger dauert.

Ein Beispiel sind die mit unserer maßgeblichen Beteiligung erarbeiteten Stellungnahmen zu Transparenz bei Algorithmen und in Systemen der künstlichen Intelligenz für den Einsatz im öffentlichen Bereich aus dem Jahr 2018 (37. TB, Tz. 2.2.3; 38. TB, Tz. 1.5). Im April 2019 wurde dann für die Internationale Konferenz der Informationsfreiheitsbeauftragten von Deutschland ein Entwurf für eine Resolution eingebracht, die die wesentlichen Forderungen aus dem Positionspapier deutscher Informationsfreiheitsbeauftragter enthält, die „Draft resolution: Transparency of public administration when using algorithms is indispensable for the protection of fundamental human and civil rights“:

https://www.informationcommissioners.org/draft-resolution-transparency-of-public-administration-when-using-algorithms-is-indispensable-for-the-protection-of-fundamental-human-and-civil-rights
Kurzlink: https://uldsh.de/tb39-1-5

Dieser Entwurf, der bereits Unterstützer gefunden hatte, sollte in der Folgekonferenz im Jahr 2020 diskutiert werden. Leider konnte bedingt durch die Coronapandemie in dem Jahr die Internationale Konferenz der Informationsfreiheitsbeauftragten nicht stattfinden. Damit verschiebt sich die internationale Behandlung des Themas auf das Jahr 2021. Dennoch hat bereits die Veröffentlichung dieses Entwurfs dafür gesorgt, Impulse zur grundrechtskonformen Gestaltung aus Schleswig-Holstein auf der internationalen Ebene sichtbar zu machen.


1.6          Vorschau: Vorsitz der Konferenz der Informationsfreiheitsbeauftragten im Jahr 2022

Alle Landesbeauftragten für Datenschutz sowie der Bundesbeauftragte in Deutschland sind Mitglied der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Ein ähnliches Gremium ist die Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder (IFK), in dem sich die Informationsfreiheitsbeauftragten versammeln – in Deutschland wird diese Rolle auf Bundesebene und in denjenigen Ländern, die über ein Informationsfreiheits- oder Transparenzgesetz verfügen, von den jeweiligen Beauftragten für Datenschutz ausgefüllt. Wie man dies auch von anderen Bund-Länder-Gremien

kennt, wechselt der Vorsitz jährlich. Oft richtet sich die Reihenfolge nach dem Alphabet der Namen der Bundesländer, doch es kann auch getauscht werden, wenn besondere Umstände es erfordern.

Für Schleswig-Holstein bedeutet die aktuelle Planung, dass wir im Jahr 2022 die Ehre haben, die Leitung der IFK zu übernehmen. Im Folgejahr werden wir dann den Vorsitz der DSK innehaben. Angesichts der notwendigen und sinnvollen Abstimmungsbedarfe unter den Behörden ist die Leitung dieser Gremien eine wichtige und arbeitsame Rolle. Wir werden berichten.

 

Zum Inhaltsverzeichnis Zum nächsten Kapitel