01

Kernpunkte:

  • Datenschutz in Zeiten der Pandemie
  • Zahlen und Fakten
  • Evaluierung der Datenschutzgesetze
  • Informationsfreiheit „by Design“

 

1    Datenschutz und Informationsfreiheit

Im Jahr 2021 ist viel passiert – auch im Bereich Datenschutz und Informationsfreiheit. Wie jedes Jahr stelle ich Ihnen die wichtigsten Entwicklungen und interessante Fälle vor, die Ihnen einen Einblick in die Arbeit des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) geben.

Eigentlich hätte man nun – mehr als drei Jahre nach Geltung der Datenschutz-Grundverordnung – erwarten können, dass die Umsetzung von Datenschutzanforderungen zur Selbstverständlichkeit geworden ist. Das müsste doch ebenso für die Behörden und Unternehmen im Land gelten wie für die globalen Konzerne, deren Produkte und Dienstleistungen auch in Europa verbreitet sind. Leider ist dies im europäischen Konzert der Aufsichtsbehörden noch nicht so gut gelungen, wie ich es mir erhofft hatte.

Defizite sehe ich auch im Punkt der Digitalisierung, die durch die Coronapandemie in Deutschland einen erheblichen Schub bekommen hat, weil beispielsweise Homeoffice, Videokonferenzsysteme und die E-Akte einen neuen Stellenwert erhalten haben. Doch ein Mehr an Digitalisierung ist noch nicht gleichbedeutend mit der Beherrschung der damit verbundenen Risiken. Hier fehlt es seit Jahrzehnten an der ausreichenden Professionalisierung, und das rächt sich jetzt. Die Auswirkungen sieht man z. B. an der gestiegenen Zahl der Datenpannenmeldungen an meine Behörde, die zu einem großen Teil mit nicht ausreichend geschützten IT-Systemen zu tun hatten.

Hier zeigen sich erhebliche Versäumnisse: Einerseits fehlt es aufseiten der Anwender in Behörden und Unternehmen an Know-how und Bewusstsein über Risiken und deren Beherrschung – und man darf schon dankbar über diejenigen sein, die über so viel Wissen und über definierte Abläufe verfügen, dass sie die festgestellten Verletzungen des Schutzes personenbezogener Daten an uns melden. Andererseits haben sich zahlreiche Anbieter in ihren Produkten oder Diensten auf IT-Komponenten mit unklarem Sicherheits- oder Datenschutzniveau verlassen.

Problem erkannt, Gefahr gebannt? Keineswegs. Diese Probleme sind nicht kurzfristig zu lösen, denn die Komplexität heutiger IT-Systeme steht in vielen Fällen einer adäquaten Beherrschung der Risiken entgegen. Es mag für viele wie ein Labyrinth an nur schwer zu durchschaubaren Regeln und technischen Komponenten wirken – so haben wir es auf dem Titelbild der Druckfassung dieses Berichts visualisiert.

Digitalisierung im Blindflug darf nicht passieren. Ich hoffe, dass die Erschütterungen in der IT-Community, die durch die sich häufenden bekannt gewordenen Sicherheitslücken ausgelöst wurden, dazu führen, dass Informationstechnik künftig zu einem besser kontrollierbaren Werkzeug wird. Zusätzlich gilt für das Systemdesign: Auch in puncto Datenschutzfunktionalität ist dringend nachzubessern.

Für die Verantwortlichen und Auftragsverarbeiter im Land bedeutet dies, ihr Datenschutzmanagement ernst zu nehmen und auf seine Wirksamkeit zu überprüfen.

Anregungen dazu finden Sie in diesem Bericht. Ich wünsche allen eine interessante Lektüre!

Marit Hansen

Landesbeauftragte für Datenschutz Schleswig-Holstein

 

1.1          Datenschutz in Zeiten der Pandemie

Rückblende: Im April 2020 veröffentlicht die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder die Entschließung „Datenschutz-Grundsätze bei der Bewältigung der Corona-Pandemie“:

https://www.datenschutzkonferenz-online.de/media/en/Entschließung Pandemie 03_04_2020_final.pdf [Extern]

Kurzlink: https://uldsh.de/tb40-1-1

Damals konnte wohl noch keiner ahnen, welchen Verlauf die Pandemie und die Debatten zu Bekämpfungsmaßnahmen nehmen würde. Die damals aufgeführten Grundsätze gelten auch heute noch in einer fortgeschrittenen Phase der Pandemie. Dass es einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten bedarf. Dass die Eignung und die Erforderlichkeit der geplanten Maßnahmen kritisch zu überprüfen sind. Dass eine Zweckbindung wesentlich ist. Dass nicht mehr notwendige Daten unverzüglich zu löschen sind. Dass die Maßnahmen befristet sein sollten. Und dass Gesundheitsdaten gegen eine missbräuchliche Verwendung und vor Fehlern in der Verarbeitung zu schützen sind.

Aus Datenschutzsicht hat einiges ganz gut geklappt, aber vieles auch nicht. Fehlerfrei kommt wohl kaum ein Staat durch eine Pandemie. Doch es hakt immer noch an drei miteinander zusammenhängenden Punkten:

  • Einbeziehung von Datenschutzkompetenz bereits bei der Planung der Maßnahmen,
  • Klärung der vorhersehbaren Praxisfragen in Bezug auf eine etwaige Verarbeitung personenbezogener Daten, bevor neue Regelungen in Kraft gesetzt werden,
  • Bereitstellen von Hilfen wie z. B. Musterdokumenten oder Informationsblättern.

In unserer täglichen Arbeit macht dies Probleme: Sobald neue Regeln erlassen wurden, prasseln auf uns Nachfragen ein, wie sie wohl gemeint sind: Welche Daten müssen von den Verpflichteten geprüft werden? Wie sind erfolgte Prüfungen zu dokumentieren? Dürfen oder müssen auf Nachfrage Daten herausgegeben werden, und wenn ja, an wen? Wann müssen Daten gelöscht sein?

Wir bemerken auf der einen Seite einen „Viel hilft viel“-Ansatz, bei dem die Verpflichteten vor Ort aus Angst, bei etwaigen Prüfungen der Ordnungsbehörden ihr korrektes Verhalten nicht belegen zu können, (zu) viele Daten abfragen und speichern – damit verstoßen sie aber häufig gegen das Datenminimierungsgebot des Datenschutzrechts und haben auch öfter Probleme, die Sicherheit der personenbezogenen Daten gewährleisten zu können. Auf der anderen Seite gibt es Verpflichtete, die völlig überfordert sind: sowohl von den Verpflichtungen aus Gründen des Pandemieschutzes als auch von Datenschutzfragen, die vorher bei ihnen gar keine Rolle spielten. Um hier Wildwuchs und Datenschutzverletzungen zu vermeiden, sind klare Regeln und vor allem Praxishinweise erforderlich.

Vor allem sollte man sich in der Gesetzgebung ebenso wie bei der Entwicklung von technischen Unterstützungswerkzeugen vor Augen führen, wie dies ganz konkret in der Praxis funktionieren soll. Gern unterstützen wir bei dieser Aufgabe im Rahmen unserer Zuständigkeit.


Was ist zu tun?
Gerade wegen der hohen Komplexität der Pandemieregeln und der großen Geschwindigkeit, in der sie verändert werden, darf die Praxistauglichkeit nicht vernachlässigt werden. Wir wünschen uns drei Dinge für die Zukunft: Datenschutzkompetenz einbeziehen – Praxisfragen der Datenverarbeitung vorab klären – Hilfestellung für die Umsetzung geben.

 

1.2          Zahlen und Fakten zum Jahr 2021

Die Anzahl der Beschwerden hat sich im Jahr 2021 etwa auf demselben Stand wie im Vorjahr eingependelt und ist nicht wieder auf das Niveau von 2019 zurückgegangen. Eine leichte Zunahme war für den nichtöffentlichen Bereich zu verzeichnen, während die Zahl bezüglich der Beschwerden über (vermutete) Datenschutzverstöße bei öffentlichen Stellen abnahm. Auffällig war allerdings, dass uns im Berichtsjahr deutlich mehr Verletzungen des Schutzes personenbezogener Daten gemeldet wurden. Somit sind die Zahlen der Datenpannenmeldungen seit Geltung der Datenschutz-Grundverordnung (DSGVO) kontinuierlich gestiegen. Im Folgenden sind die genauen Zahlen dargestellt:
2021 erreichten uns 1.464 schriftliche Beschwerden (Vorjahr: 1.497), von denen 283 (Vorjahr: 278) nicht in unserer Zuständigkeit (öffentliche und nichtöffentliche Stellen in Schleswig-Holstein mit Ausnahme bestimmter Bereiche in Bundeszuständigkeit, z. B. Telekommunikation) lagen und an die zuständigen Behörden abgegeben werden mussten.


Bearbeitete Beschwerden 2020

Da bei uns erhobene Beschwerden zunehmend einen grenzüberschreitenden Sachverhalt oder Verantwortliche in anderen Mitgliedstaaten be-treffen, werden regelmäßig Fälle an die zuständigen Aufsichtsbehörden anderer Mitgliedstaaten zur alleinigen oder federführenden Bearbeitung abgegeben. Im Jahr 2021 betraf dies insbesondere die Aufsichtsbehörden in Frankreich, Malta und Schweden.

Insgesamt wurden in eigener Zuständigkeit 1.181 (Vorjahr: 1.219) Beschwerden bearbeitet, davon richteten sich mehr als zwei Drittel der Beschwerden gegen Unternehmen und andere nichtöffentliche Stellen (820; Vorjahr: 812), der Rest gegen Behörden (361; Vorjahr: 407). Dazu kamen 712 (Vorjahr: 808) Beratungen für den öffentlichen und den nichtöffentlichen Bereich.

Ohne vorherige Beschwerde wurden fünf (Vorjahr:acht) Prüfungen im öffentlichen und fünf (Vorjahr: fünf) im nichtöffentlichen Bereich begonnen und neue Verfahren eingeleitet; zahlreiche Prüfungen aus dem Vorjahr wurden fortgeführt.

Die Zahl von 649 (Vorjahr: 406) gemeldeten Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 DSGVO, § 41 LDSG oder § 65 BDSG i. V. m. § 500 StPO (Datenpannen) ist im Vergleich zum Vorjahr um 60 % gestiegen. Das zeigt uns, dass vielen Verantwortlichen ihre Pflicht zur Datenpannenmeldung mittlerweile bekannt ist. Dennoch erfahren wir auch immer wieder von Datenpannen, bei denen die Verantwortlichen der Meldepflicht nicht nachgekommen sind.

Bearbeitete Meldungen nach Art. 33 DSGVO

Von den Abhilfemaßnahmen als Reaktion auf festgestellte Verstöße gegen das Datenschutzrecht wurde im Berichtsjahr insgesamt wie folgt Gebrauch gemacht:

  • 60 Warnungen (Vorjahr: 42),
  • 51 Verwarnungen (Vorjahr: 50),
  • 4 Anordnungen zur Änderung oder Einschränkung der Verarbeitung (Vorjahr: 13),
  • 4 Geldbußen (Vorjahr: 0).

Nach unserem Eindruck wird die Dienststelle der Landesbeauftragten für Datenschutz in Gesetzgebungsvorhaben auf Landesebene weitgehend eingebunden, wenn Aspekte des Datenschutzes oder des Informationszugangs betroffen sein könnten. Dies geschah im Berichtsjahr über die Ministerien parallel zur Anhörung von Verbänden oder über die Ausschüsse im Landtag in 25 (Vorjahr: 25) neuen Gesetzgebungsvorhaben; ein Teil der Vorjahresbeteiligungen erstreckte sich zudem auf das Jahr 2021.

 

1.3          Schleswig-Holstein und die Digitalisierung

Digitalisierung ist ein Schwerpunktthema für uns – sowohl mit Blick auf den Datenschutz als auch auf die Informationsfreiheit. Die Landesbeauftragte für Datenschutz ist Mitglied im Beirat „KI@Gesellschaft“ (39. TB, Tz. 1.3) und steht mit ihrer Dienststelle zur Verfügung, um bei strategischen Planungen des Landes zu künstlicher Intelligenz, Open Source, digitaler Souveränität oder anderen Fragen der Digitalisierung zu beraten und dort Expertise einzubringen. Beispiele dafür finden sich in diesem Bericht, z. B. die Zusammenarbeit mit dem zentralen IT-Management (Tz. 6.1.1), Beratung im Bereich KI (Tz. 6.1.2) und Stellungnahmen zum Digitalisierungsgesetz (Tz. 6.1.4 und Tz. 12.1).

Im Ergebnis wird die Digitalisierung der Verwaltung und der anderen öffentlichen Bereiche unter dem Vorzeichen der digitalen Souveränität (39. TB, Tz. 2.1) zu einem Umbau führen, der zurzeit vorbereitet und behutsam umgesetzt wird. Dies ist nicht nur für Schleswig-Holstein relevant, sondern hier ist eine länderübergreifende Kooperation in verschiedenen Fach- und Infrastrukturverfahren sinnvoll, wie dies bereits praktiziert und vermutlich künftig eine noch größere Rolle spielen wird. Auch die jeweils beteiligten Datenschutzaufsichtsbehörden werden hier einen Schulterschluss suchen (Tz. 2.5).

Was ist zu tun?
Auf die Kompetenz des ULD sollte bei strategischen Planungen von Digitalisierungsprojekten weiterhin zurückgegriffen werden.

 

1.4          Evaluierungen der neueren Gesetze zu Datenschutz und Informationsfreiheit

Viele neue Gesetze enthalten mittlerweile Evaluierungsklauseln: Nach einer festgelegten Zeit sollen die Erfahrungen mit den jeweiligen Regeln abgefragt werden, und der Gesetzgeber kann auf dieser Basis im Bedarfsfall im Feinen nachjustieren oder in größerem Umfang Änderungen vornehmen.

Wie bereits im letzten Tätigkeitsbericht geschrieben, hat die Evaluierung der DSGVO im Jahr 2020 den Anfang gemacht (39. TB, Tz. 1.4). Im Jahr 2021 stand die Evaluierung des Bundesdatenschutzgesetzes an. Auch die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die täglich mit dem BDSG arbeiten, haben sich an der Evaluierung beteiligt.
Unsere gemeinsame Stellungnahme steht unter dem folgenden Link zur Verfügung:

https://www.datenschutzkonferenz-online.de/media/st/20210316_DSK_evaluierung_BDSG.pdf [Extern]
Kurzlink: https://uldsh.de/tb40-1-4a

Das Bundesministerium des Innern und für Heimat, das für die Evaluierung zuständig war und dafür Leitfragen in einem Fragebogen bereitgestellt hatte, hat unseren Bericht und zahlreiche weitere Beiträge entgegengenommen. Die Zusammenfassung der Evaluierung durch das BMI ist hier verfügbar:

https://www.bmi.bund.de/SharedDocs/evaluierung-von-gesetzen/evaluierung-bdsg.html [Extern]
Kurzlink: https://uldsh.de/tb40-1-4b

Im Ergebnis kommt das BMI zum Schluss, dass „die überwiegende Zahl der Regelungen des BDSG als sachgerecht, praktikabel und normenklar angesehen werden kann“. Es sollen aber zu einigen Regelungen Klarstellungen, Umformulierungen oder Anpassungen geprüft werden.

§ 16 IZG-SH
Die Landesregierung überprüft die Auswirkungen dieses Gesetzes mit wissenschaftlicher Unterstützung. Sie legt dem Landtag dazu in den Jahren 2020 und 2025 einen Bericht vor. Die oder der Landesbeauftragte für Datenschutz ist vor der Zuleitung der Berichte an den Landtag zu unterrichten; sie oder er gibt dazu eine Stellungnahme ab.

Liegt für das Landesdatenschutzgesetz Schleswig-Holstein eine ähnliche Situation vor? Im letzten Bericht hatten wir darauf hingewiesen, dass die gesetzlich vorgegebene Evaluierung ausstand. Das Ministerium für Inneres, ländliche Räume, Integration und Gleichstellung (MILIG) hat im Jahr 2021 eine Befragung durchgeführt, mit der Einschätzungen der maßgeblichen Rechtsanwender gesammelt wurden. Auch wir haben zu den Fragen und weiteren Punkten Stellung bezogen. Teile der Stellungnahme zum BDSG waren auch für das LDSG relevant, soweit sie sich auf Regelungen bezogen, die in beiden Gesetzeswerken gleich formuliert sind.

Fortschritte zur Evaluierung des Informationszugangsgesetzes Schleswig-Holstein (IZG-SH), die zum Jahr 2020 hätte durchgeführt werden sollen, sind uns nicht bekannt. Hier warten wir noch auf einen Bericht, zu dem wir dann eine Stellungnahme abgeben werden.

Eine Orientierung könnte die Evaluierung des rheinland-pfälzischen Landestransparenzgesetzes aus dem Jahr 2021 bieten (Landtag Rheinland-Pfalz, Drucksache 2018/678):

https://dokumente.landtag.rlp.de/landtag/drucksachen/678-18.pdf [Extern]
Kurzlink: https://uldsh.de/tb40-1-4c

Zu bedenken ist aber bei der Konzeption einer derartigen Evaluierung, dass die dabei abgefragten Informationen oder Zahlen auch bei den Rechtsanwendenden – insbesondere den informationspflichtigen Stellen – verfügbar sind. Auch sollte nach Möglichkeit die Evaluierung selbst nicht einen zu großen Aufwand bei diesen Stellen auslösen. So kann es durchaus sein, dass die Evaluierungskonzepte aus anderen Bundesländern nicht auf Schleswig-Holstein übertragbar sind.

Schließlich ist ein weiterer Punkt zu etwaigen Verbesserungspotenzialen in Gesetzen hervorzuheben, der in den bisherigen Evaluierungen unter den Tisch fallen könnte. Denn Datenschutzregelungen finden sich nicht nur in den speziellen Datenschutzgesetzen wie DSGVO, BDSG oder LDSG, sondern spielen auch in anderen Gesetzgebungsprozessen auf Landesebene eine wesentliche Rolle. Dies gilt insbesondere dann, wenn Öffnungs- oder Spezifikationsklauseln der DSGVO genutzt werden sollen oder es sich um Gesetzgebungsverfahren im Bereich Justiz und Inneres handelt.

Wir beobachten, dass auch in Schleswig-Holstein dabei noch zu wenig die Vorgaben des europäischen Datenschutzkonzepts und die dort eingeführte Terminologie berücksichtigt werden. Wir haben im Berichtsjahr mehrfach auf dieses Problem hingewiesen, wenn wir zu Gesetzgebungsvorhaben angehört wurden – sind aber offensichtlich mit unseren Mahnungen nicht immer durchgedrungen. Nach unserer Auffassung ist damit fraglich, ob die europarechtlichen Vorgaben korrekt umgesetzt wurden, und es entstehen ebenso Schutzlücken wie Regelungslücken.

Das deutlichste Beispiel ist die „Verarbeitung“, die nunmehr zum Oberbegriff für alle Arten der Verarbeitung geworden ist und insbesondere die auch im Landesrecht noch häufig verwendeten Begriffe „Erhebung“, „Nutzung“, „Übermittlung“ und die vormals restriktiver definierte „Verarbeitung“ einschließt. Auch Begriffe wie „pseudonymisiert“ oder „anonymisiert“ wurden früher in unserem Landesrecht teilweise in anderen Definitionen verwendet, als dies nach der Datenschutzreform der Fall ist.

Unser Appell: Im Sinne der Rechtssicherheit sollten die Gesetze auf etwaige Schutzlücken und Regelungslücken überprüft werden. Diese Arbeit ist nicht trivial – so reichen vielfach rein editorische oder kosmetische Änderungen nicht aus, wenn Gesetzesanpassungen anstehen. Doch andernfalls können Probleme aufseiten der Rechtsanwendenden oder der betroffenen Personen entstehen. Das gilt es zu vermeiden.

 

Was ist zu tun?
Hat der Gesetzgeber bestimmt, dass Evaluierungen vorzunehmen sind, müssen sie durchgeführt werden. Ein Praxischeck bei den Rechtsanwendenden ist in jedem Fall zu begrüßen, um Klarstellungen zu erreichen oder Hilfestellungen geben zu können. Die europäischen Vorgaben zum Datenschutz müssen in der Gesetzgebung berücksichtigt werden.


1.5          Informationsfreiheit „by Design“

Die Landesbeauftragte für Datenschutz ist in Schleswig-Holstein nicht nur für Datenschutz, sondern auch für Informationsfreiheit zuständig. Die gesetzlichen Aufgaben und Befugnisse unterscheiden sich stark, doch es gibt viele Bezugspunkte zwischen den Themen Datenschutz und Informationsfreiheit.

Die Diskussion zu Datenschutz „by Design“ läuft seit Mitte der 1990er Jahre und hat mit der Verankerung in Artikel 25 DSGVO an Sichtbarkeit gewonnen. Dahinter steckt die Erkenntnis, dass die Gestaltung von Systemen einen erheb-lichen Einfluss auf die Umsetzbarkeit von Datenschutzanforderungen hat. Werden Datenschutzgrundsätze von Anfang an und über alle Phasen der Systementwicklung berücksichtigt, ermöglicht oder vereinfacht es den Verantwortlichen und anderen Nutzenden, die rechtlichen Anforderungen zu befolgen und Pannen zu vermeiden (siehe Tz. 2.4).

Diese Erkenntnis lässt sich auf andere Anforderungen übertragen – wie beispielsweise auf die Informationsfreiheit. Dafür werben wir seit Jahren, und bereits 2019 haben wir dazu gemeinsam mit anderen Informationsfreiheitsbeauftragten einen Impuls gegeben: Das Positionspapier „Informationsfreiheit by Design“ der 37. Konferenz der Informationsfreiheitsbeauftragten (IFK) in Deutschland am 12. Juni 2019 in Saarbrücken ist unter dem folgenden Link abrufbar:

https://www.datenschutzzentrum.de/artikel/1317-.html
Kurzlink: https://uldsh.de/tb40-1-5a

Zu Informationsfreiheit „by Design“ zählt die Gesamtheit technischer und organisatorischer Instrumente unter Berücksichtigung des Stands der Technik, die der Wahrnehmung und Erfüllung der Rechte nach den Informationsfreiheits- und Informationszugangsgesetzen, Umweltinformationsgesetzen und Transparenzgesetzen des Bundes und der Länder dienen.

Informationsfreiheit „by Design“ unterstützt einerseits informationspflichtige Stellen bei der Erfüllung eines beantragten Informationszugangs sowie bei der Umsetzung von Veröffentlichungspflichten, andererseits wird für Antragstellende der Informationszugang erleichtert.

Im Jahr 2022 werden wir uns verstärkt solchen technischen und organisatorischen Maßnahmen und Gestaltungsoptionen widmen und dies in unserer Beratungs- und Schulungspraxis einfließen lassen. Dies soll nicht nur ein regionales Thema für unser Bundesland bleiben, sondern als Vorsitz der IFK laden wir alle anderen Beauftragten für Informationsfreiheit des Bundes und der Länder ein, hieran mitzuwirken (Tz. 12.5). Auch verwandte Themen wie die Erhöhung von Transparenz in algorithmischen Systemen oder die Rolle von Datentreuhändern im Sinne einer kontrollierten Datenfreigabe (siehe Tz. 8.4 zum Einwilligungsmanagement) werden wir behandeln. Am 12.09.2022 wird Informationsfreiheit „by Design“ das Thema unserer Sommerakademie sein (Tz. 13.2).

Auch die Bemühungen des Landes Schleswig-Holstein um mehr Transparenz unterstützen wir (38. TB, Tz. 1.5). Dies umfasst beispielsweise eine konstruktive Begleitung von Gesetz- und Verordnungsentwürfen in den Bereichen Transparenzportal und Open Data.

Transparenzportal:
https://www.schleswig-holstein.de/DE/Landesregierung/Themen/Digitalisierung/Transparenzportal/transparenzportal.html [Extern]
Kurzlink: https://uldsh.de/tb40-1-5b

Open Data:
https://www.schleswig-holstein.de/DE/Landesregierung/Themen/Digitalisierung/openData/openData_node.html [Extern]
Kurzlink: https://uldsh.de/tb40-1-5c


Was ist zu tun?
Das Land Schleswig-Holstein ist auf einem guten Weg für mehr Transparenz und Informationsfreiheit. Wir unterstützen dabei gern.


 

Zum Inhaltsverzeichnis Zum nächsten Kapitel