Niedersachsen: Datenschutzbeauftragte fordert Personal für "proaktives" Handeln
Die Datenschutzbeauftragte für Niedersachsen fordert unter anderem mehr Personal für den Datenschutz und dass dieser nicht als "Sündenbock" abgetan werden darf.
(Bild: Heike Göttert)
Niedersachsens Datenschutzbeauftragte Barbara Thiel fordert mehr Personal für den Datenschutz. Ihr sei weder ein "proaktives" Handeln bei Datenschutzverstößen noch eine ausreichende Beratung möglich gewesen, wie sie in ihrem Tätigkeitsbericht für das Jahr 2021 schreibt. Demnach blieb die Zahl der eingegangenen Beschwerden von betroffenen Personen gegenüber dem Vorjahr gleich (2.479 im Jahr 2020 und 2.538 im Jahr 2021), doch stiegen die von Datenschutzverantwortlichen gemeldeten Verstöße an (von 989 auf 1.673). Oft bezogen diese sich auch "auf Sicherheitslücken von Microsoft Exchange Servern (sogenannter "Hafnium Hack"), auf den Verlust, Diebstahl oder Fehlversand von Daten sowie auf Cyber-Angriffe durch Phishing-Mails und Verschlüsselungstrojaner".
Schrems II, Cookies und Co.
Bezüglich des internationalen Datenverkehrs habe Thiel in Zusammenarbeit mit weiteren deutschen Aufsichtsbehörden angefangen zu prüfen, ob Unternehmen die Anforderungen aus dem Schrems-II-Urteil des Europäischen Gerichtshofs von Juli 2020 umsetzen. Im Fokus standen dabei die Einhaltung der Anforderungen an den internationalen Datentransfer bei Mail- und Web-Hosting, die anscheinend herausfordernd sei. Sowohl Geschäftsmodelle als auch -abläufe hätten in einigen Fällen umgebaut werden müssen.
Ebenfalls länderübergreifend wurden die Webseiten von Medienunternehmen beim Einsatz von Cookies und Drittanbieter-Diensten geprüft – insgesamt 49 Webangebote in 11 Bundesländern bezüglich Werbetracking. Dabei kam heraus, dass die meisten Webseiten nicht den rechtlichen Anforderungen beim Einsatz von Cookies und anderen Tracking-Techniken entsprachen. Ende 2021 sind die Anforderungen durch das inkraftgetretene Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) geändert worden – wodurch die Cookie-Regelung der europäischen E-Privacy-Richtlinien in nationales Recht umgesetzt worden sind.
200.000 Euro für unerlaubte Videoüberwachung
Insgesamt wurden nach laut dem Bericht Bußgelder in einer Höhe von insgesamt 270.000 Euro für Verantwortliche aus den Bereichen medizinische Versorgung, Einzel- und Versandhandel sowie Tourismus verhängt, aber auch gegen Einzelpersonen. Wobei ein Bußgeld 200.000 Euro betrug und wegen Videoüberwachung der Mitarbeiter ohne Rechtsgrundlage festgesetzt wurde. Weitere Verstöße wurden unter anderem aufgrund der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage und die Verarbeitung beruflicher Daten für private Zwecke gemeldet.
Ebenfalls bemängelt Thiel die Zusammenarbeit mit dem Innenministerium bezüglich des polizeilichen Messengers Nimes. Zwar habe das Innenministerium 5.000 Dienstgeräte für Polizisten angeschafft, die meisten davon wurden allerdings nicht verteilt. Das Prüfverfahren dazu musste sie mit einer "offiziellen Beanstandung" abschließen.
Informationelle Selbstbestimmung kein Selbstzweck
Darüber hinaus appellierte Thiel in ihrem Bericht: "Das polemische, nicht immer von Fachkenntnis begleitete Narrativ vom Stolperstein Datenschutz muss endlich aufhören. Das Recht auf informationelle Selbstbestimmung ist kein Selbstzweck, sondern dient dem unmittelbaren Schutz der Privatsphäre aller Bürgerinnen und Bürger." Vor allem in Zusammenhang mit den Corona-Maßnahmen sei im Kontext des Datenschutzes von einem vermeintlichen "Super-Grundrecht" gesprochen worden. Dabei sei auch das Recht auf informationelle Selbstbestimmung auch durch Maßnahmen wie die Kontaktdatenerfassung ebenso wie andere Grundrechte eingeschränkt worden. In diesem Zusammenhang bringt Thiel auch Bedauern darüber zum Ausdruck, dass sie beim Einsatz der Luca-App "bedauerlicherweise [...] erst spät eingebunden wurde".
Brandenburg übte ebenfalls Kritik
Kürzlich hat auch die Landesdatenschutzbeauftrage von Brandenburg, Dagmar Hartge, ihren Tätigkeitsbericht für das Jahr 2021 vorgestellt. Sie übte vor allem Kritik an dem Einsatz der Luca-App und der damit verbundenen Sormas-Schnittstelle wider besseren Wissens – die Dokumentation der Datenverarbeitung sei unzureichend gewesen. Außerdem habe lediglich ein Gesundheitsamt eines Landkreises die Daten aus der Luca-App zur Kontaktverfolgung eingesetzt und dennoch wurde die Reißleine nicht früh genug gezogen.
(mack)