2: Pressemitteilungen
Datenschutz und Informationsfreiheit im Umbruch – und wichtiger denn je! Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein stellt Tätigkeitsbericht 2017 vor
Am heutigen Tage hat das Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) seinen Tätigkeitsbericht für die vergangenen zwei Jahre vorgestellt. Es handelt sich um den 36. Tätigkeitsbericht der Dienststelle. Dies ist zugleich der erste Tätigkeitsbericht der Landesbeauftragten für Datenschutz Marit Hansen, die im Juli 2015 vom Schleswig-Holsteinischen Landtag als Nachfolgerin von Dr. Thilo Weichert gewählt wurde. Der Tätigkeitsbericht beschreibt die wichtigen Entwicklungen und interessante Einzelfälle zu den Kernthemen des ULD Datenschutz und Informationsfreiheit.
Marit Hansen, Leiterin des ULD, schaut auf den Berichtszeitraum zurück: „Es wird immer deutlicher: Europa macht die Musik im Datenschutzrecht. Urteile des Gerichtshofs der Europäischen Union (EuGH) und die Datenschutz-Reform, die uns ab Mai 2018 ein neues Rechtsregime im Datenschutz beschert, wirken sich unmittelbar auf jedes Bundesland aus. Zusätzlich setzen die Gesetzgeber auf Bundes- und Landesebene eigene Schwerpunkte im Rahmen ihrer Zuständigkeit. Meine Dienststelle hält nicht nur all diese rechtlichen Entwicklungen auf Landes-, Bundes- und Europaebene im Blick, sondern auch den technischen Fortschritt. Dies alles ist nötig, damit wir wirkungsvoll den Risiken der Digitalisierung begegnen, ihre Chancen – auch für einen besseren Grundrechtsschutz in unseren Kernthemen Datenschutz und Informationsfreiheit – nutzen und unsere Informationsgesellschaft zukunftsfähig machen.“
Das ULD ist gleichzeitig Aufsichtsbehörde für Datenschutz und Ansprechstelle vor Ort, um ein gutes Datenschutzniveau zu gewährleisten. Firmen und Behörden sind verpflichtet, die Anforderungen des geltenden Datenschutzrechts umzusetzen. Hansen berichtet: „In unseren Prüfungen hat sich gezeigt, dass dies teilweise schon gut funktioniert – wenn nämlich ein Datenschutz-Managementsystem sämtliche Vorgänge der Verarbeitung personenbezogener Daten in den Blick nimmt. Teilweise – dies hat sich ebenfalls bei unserer Arbeit gezeigt – besteht aber dringender Nachbesserungsbedarf. Wir mussten zahlreiche Rechtsverstöße beanstanden. In einigen – zum Glück nur wenigen! – Fällen kam es zu ernsten Datenpannen. Es kann dramatische Auswirkungen haben, wenn Patientendaten oder Kontoauszüge in falsche Hände geraten. Die Umsetzung von Maßnahmen für Datenschutz und Informationssicherheit ist gesetzliche Pflicht.“
Die Datenschutz-Grundverordnung, die in 325 Tagen gelten wird, ist kein zahnloser Tiger, sondern beinhaltet die Möglichkeit spürbarer Sanktionen, z. B. hohe Bußgelder. Ein Ziel hat die Grundverordnung bereits erreicht: Datenschutz wird endlich ernst genommen, die Nachfrage nach erstklassigen Lösungen ist gestiegen. Firmen, Behörden und Organisationen nutzen die Schulungs- und Beratungsangebote des ULD. Zu tun bleibt aber noch sehr viel, beispielsweise die Anpassung der aktuellen Datenschutzregelungen in zahlreichen Landesgesetzen. Das ULD hat dem Landesgesetzgeber Unterstützung angeboten.
„Recht und Technik müssen beim Datenschutz zusammenwirken“, betont die Informatikerin Hansen. „Dies zeigt sich auch in den verschiedenen Facetten unserer Arbeit, die wir im Tätigkeitsbericht darstellen: Datenschutz in der Verwaltung und in der Wirtschaft, Systemdatenschutz mit Anforderungen an die Informationssicherheit und an technischen Datenschutz, die Untersuchung neuer Technik in unserem IT-Labor, Datenschutz-Audits und Datenschutz-Gütesiegel, Schulungen sowie die Modellprojekte, in denen clevere Datenschutz-Lösungen entwickelt und erprobt werden. Ebenso ist die verbesserte Transparenz der öffentlichen Verwaltung wichtig – hier wirkt meine Dienststelle im Sinne der Informationsfreiheit.“
Nach Überzeugung von Hansen befindet sich unsere Welt im Umbruch: mit der Digitalisierung nahezu aller Lebensbereiche, der massenhaften Auswertung von Daten, der Verlagerung von Entscheidungen auf Maschinen und Algorithmen und der Ausweitung der Überwachungsgesetze. „Nun gilt es gerade, Datenschutz und Informationsfreiheit stark zu machen. Wir müssen das Potenzial der Datenschutz-Reform für einen verbesserten Datenschutz nutzen“, sagt Hansen. Sie ist optimistisch: „Gute Referenzlösungen für eingebauten Datenschutz aus Wirtschaft und Verwaltungen – auch aus Schleswig-Holstein! – haben Strahlkraft in ganz Europa. Das bisherige Recht hat zu wenig Anreize für innovative Datenschutz-Entwicklungen geboten, doch dies wird sich ab Mai 2018 ändern.“
Das ULD steht für alle Fragen zu Datenschutz und Informationsfreiheit in Schleswig-Holstein zur Verfügung.
Der Tätigkeitsbericht 2017 kann im Internet abgerufen werden unter
https://datenschutzzentrum.de/tb/tb36/index.html
Bei Nachfragen wenden Sie sich bitte an:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Holstenstraße 98, 24103 Kiel
Tel: 0431 988-1200, Fax: -1223
E-Mail: mail@datenschutzzentrum.de
Der Tätigkeitsbericht 2017 des ULD im Überblick
Der diesjährige Tätigkeitsbericht des ULD beschreibt auf 152 Seiten aktuelle Entwicklungen und relevante Einzelfälle. Einige Beispiele werden im Folgenden genannt:
1. Datenschutz in der Schule
Medienkompetenz für Kinder und Jugendliche ist sehr wichtig! Das ULD hat deswegen im Berichtszeitraum Veranstaltungen für insgesamt 1.500 Schülerinnen und Schüler der Mittelstufe durchgeführt.
Ist die Schulverwaltung – also die Verarbeitung von Daten der Schülerinnen und Schüler sowie Eltern und Lehrkräften – betroffen, darf es keine Experimente geben, sondern professionelle Konzepte sind gefragt. Messenger-Dienste sind daher zurzeit für die schulische Kommunikation tabu (Textziffer 4.7.3). Besonders kritisch ist die Funktion vieler Messenger, die Telefonnummern aller Kontakte aus dem Smartphone automatisch zu synchronisieren, obwohl in der Regel nicht alle Betroffenen damit einverstanden sind.
Vielfach lassen sich Schulen außerdem zu Fotos auf der Schulhomepage beraten (Tz. 4.7.4). Es kommen immer wieder Fälle vor, dass ein alleinerziehendes Elternteil der Publikation von Fotos der Kinder nicht zustimmen kann, weil der Aufenthaltsort gegenüber einem gewalttätigen Ex-Partner geheim gehalten werden muss. Hier würde eine Veröffentlichung von Fotos sogar eine Gefahr für Leib und Leben darstellen.
2. Datenschutz bei der Polizei
Die Datenverarbeitung bei Polizei und Justiz ist sehr sensibel. Vielfach wissen die Betroffenen auch nach Abschluss eines Verfahrens nicht genau, wie ihre Daten verarbeitet werden. Aus diesem Grund sind regelmäßige anlasslose Kontrollen durch das ULD besonders wichtig. Im Berichtszeitraum hat das ULD u. a. zwei Dateien geprüft, die nicht auf die Verarbeitung von Daten Schwerstkrimineller zielen:
Falldatei Rauschgift (Tz. 4.2.2): In der Falldatei Rauschgift werden viele Fälle von Drogenkonsum erfasst. Unsere Prüfung hat gezeigt, dass sogar Uraltspeicherungen aus den 1990er Jahren enthalten waren, die schon längst hätten gelöscht werden sollen. Auch Fälle zu Drogentoten hatten nichts in dieser Datei zu suchen, die der operativen Fallbearbeitung dient. Zweifellos haben solche Informationen einen statistischen und strategischen Wert, müssen dann aber getrennt – statistisch – erfasst werden.
Datei Fußball SH (Tz. 4.2.3): Erst vor wenigen Jahren wurde die Datei Fußball SH eingeführt, in der bei gegebenem polizeilichen Anlass Fußballfans der bekannten schleswig-holsteinischen Mannschaften wie Holstein Kiel und VfB Lübeck gespeichert sind. Zwar war die Datei recht gut gepflegt, und das ULD hat keine eklatanten Datenschutzverstöße festgestellt. Allerdings wurde Verbesserungsbedarf festgestellt: Die Gründe für die Speicherung sollen künftig aus Gründen der Transparenz mitgespeichert werden. Außerdem soll eine Höchstspeicherdauer eingeführt werden.
3. Datenschutz in der Justiz
Bei einer Person, die einer Urheberrechtsverletzung verdächtig war, wurde eine Durchsuchung durchgeführt. Neben tatrelevantem Material stellte die Polizei auch eine private Speicherkarte einer Digitalkamera sicher, auf der Familienfotos mit Aufnahmen der Kinder gespeichert waren. Diese Fotos hatten nichts mit den Ermittlungen zu tun. Dennoch gab die Polizei diese Speicherkarte unbesehen an einen Sachverständigen, die Gesellschaft für Urheberrechtsverletzungen e. V. (GVU), weiter, die sich um die Auswertung kümmern sollte (Tz. 4.3.4). Es bestehen schon Zweifel, ob die Auswertung wirklich von einer Organisation durchgeführt werden soll, deren Unparteilichkeit im Verfahren fraglich ist. In jedem Fall war aber die Weitergabe der Familienaufnahmen an die GVU aus Datenschutzsicht unverhältnismäßig – die Polizei hätte in einer Vorprüfung zunächst das Material sichten und selektieren müssen, statt auch die privaten Fotos an die GVU weiterzugeben.
Bereits im vorherigen Tätigkeitsbericht hatte das ULD von der Prüfung der nicht individualisierten Funkzellenabfragen berichtet. Von einer solchen Maßnahme zur Mobilfunküberwachung ist unweigerlich immer eine Vielzahl Unbeteiligter betroffen, die davon in der Regel keine Kenntnis erhalten. Im Innen- und Rechtsausschuss des Schleswig-Holsteinischen Landtages erhielt das ULD daraufhin den Auftrag, die Möglichkeiten für eine Erhöhung der Transparenz zu prüfen (Tz. 4.3.7). Diese juristischen und informationstechnischen Arbeiten des ULD zeigen anschaulich, dass die Transparenz bei Funkzellenabfragen verbessert werden könnte. Für eine Konkretisierung der aufgezeigten Lösungsansätze und deren Umsetzung in Schleswig-Holstein steht das ULD gern bereit.
4. Datenschutz in Arztpraxen
Medizinische Daten müssen besonders geschützt werden. Zum Glück gibt es für die digitale Datenverarbeitung technische Maßnahmen wie die Verschlüsselung, damit die Daten für Unberechtigte nicht im Klartext lesbar sind. Verschlüsselt waren die Daten in der Datensicherung einer psychiatrischen Gemeinschaftspraxis leider nicht, die in die Hände von Einbrechern gelangten. Namen, Behandlungsdaten und Arztbriefe von mehr als 40.000 Patientinnen und Patienten waren betroffen (Tz. 4.6.3).
Damit so etwas nicht passiert, hat das ULD gemeinsam mit der Ärztekammer und der Zahnärztekammer Schleswig-Holstein einen Selbst-Check für Arztpraxen erarbeitet (Tz. 4.6.1). Anhand von Fragen und Checklisten können sich die medizinischen Praxen selbst überprüfen, inwieweit Nachbesserungsbedarf dabei besteht, die datenschutzrechtlichen Vorschriften und die Anforderungen der ärztlichen Schweigepflicht umzusetzen.
5. Datenschutz in der Wirtschaft
Der EuGH entschied im Dezember 2015, dass die „Safe-Harbor“-Entscheidung der Europäischen Kommission ungültig ist (Tz. 11.1). Viele Firmen hatten sich vorher auf diese Entscheidung gestützt, um personenbezogene Daten in die USA zu übermitteln. Das ULD hatte bereits über längere Zeit darauf hingewiesen, dass „Safe Harbor“ nicht hielt, was es an Datenschutz versprach. Nachdem „Safe Harbor“ für ungültig erklärt wurde, mussten viele Firmen nachbessern: durch Änderungen in der Datenverarbeitung oder durch Zuhilfenahme anderer rechtlicher Instrumente. Die Branchenprüfung des ULD in den Jahren 2015 und 2016 bei großen Unternehmen in Schleswig-Holstein zeigte, dass dies möglich ist. In acht der neun Prüfungen mussten keine Sanktionen verhängt werden; in einem Fall dauern die Untersuchungen noch an (Tz. 5.1).
In einem anderen Fall führte ein Programmierfehler dazu, dass auf fremde Kundenkonten zugegriffen werden konnten (Tz. 5.5.2). Das Unternehmen meldete diese Datenpanne umgehend an das ULD und behob den Fehler. Da das Unternehmen nicht nur die Ursache aufklärte, sondern auch für die Zukunft Absicherungen durch verbesserte Testverfahren vornahm, stellte das ULD das eingeleitete Aufsichtsverfahren nach mehreren Monaten ein. Solche versehentlichen Datenschutzverstöße können nicht nur unangenehme Folgen für die Kundinnen und Kunden haben, sondern führen auch zu einem Imageschaden für das Unternehmen.
Nicht nur für große Firmen, sondern auch für die kleinen ist Datenschutz wichtig. Seit einiger Zeit arbeitet das ULD mit der Start-up-Szene zusammen. Dadurch werden unkomplizierte Gespräche zu Datenschutzfragen ermöglicht, typische Fehler lassen sich von Anfang an vermeiden. Künftig wird das Informationsangebot für Start-ups ausgebaut, um Innovationen in Schleswig-Holstein zu fördern.
Der Bereich, zu dem beim ULD die meisten Beschwerden eingehen, ist die Videoüberwachung. Viele Menschen möchten nicht unter Beobachtung stehen. In Intimbereichen wie Toilettenräumen (Tz. 5.6.5) oder in Umkleiden (Tz. 5.6.3) ist dies besonders kritisch und verstößt gegen das Datenschutzrecht. Auch in anderen Situationen müssen die Rechte der Betroffenen beim Einsatz von Videotechnik berücksichtigt werden. Das ULD konnte in zahlreichen Fällen darauf hinwirken, dass Datenschutzverstöße beim Einsatz von Webcams (z. B. an Schleswig-Holsteins Küsten – Tz. 5.6.1) und Videokameras abgestellt wurden (Tz. 5.6).
6. Systemdatenschutz, Informationssicherheit und technischer Datenschutz
Die schlechte Nachricht: Die heutige Technik ist weder sicher noch datenschutzfreundlich. Wie brüchig das technische Fundament unserer Informationsgesellschaft ist, erfahren wir fast täglich durch Meldungen über Angriffe durch Phishing oder Verschlüsselungstrojaner (Tz. 2.3). Mit der Datenschutz-Grundverordnung wird eingebauter Datenschutz vom unverbindlichen „Nice-to-have“ zur Pflicht – unter Berücksichtigung des Stands der Technik, der Implementierungskosten und des Risikos. Das ULD hat sich damit beschäftigt, wie man den Reifegrad datenschutzfördernder Technik bestimmt (Tz. 11.5). Auf europäischer Ebene werden die verschiedenen Ansätze künftig zusammengeführt (Tz. 11.4), damit bei der Gestaltung der Systeme die Anforderungen von Datenschutz und Informationssicherheit endlich umgesetzt werden.
7. Untersuchung neuer Technik im IT-Labor
Im IT-Labor des ULD wird Technik unter die Lupe genommen. Auf dieser Basis können Empfehlungen gegeben oder Warnungen ausgesprochen werden. Beispielsweise wurden die Datenabflüsse bei Webbrowsern untersucht (Tz. 10.1), die standardmäßige Datenweitergabe bei Windows 10 bemängelt (Tz. 10.3), die Technik von Smart Homes kritisch beleuchtet (Tz. 10.5) oder in Zusammenarbeit mit weiteren Datenschutzbehörden und deren IT-Labors Fitness-Tracker und Smart Watches geprüft (Tz. 7.5). Der Abschnitt „Datenschutz unter dem Weihnachtsbaum“ (Tz. 10.7) beschränkt sich natürlich nicht auf den Dezember, sondern gilt unabhängig von der Jahreszeit für typische Geschenke, bei denen aus Datenschutzsicht Obacht geboten ist.
Auch der Hype um das Smartphone-Spiel „Pokémon Go“ ließ das ULD nicht unberührt, das darin zahlreiche Datenschutzrisiken erkannte (Tz. 7.4). Allerdings ist dieses Spiel nur ein Beispiel unter vielen, bei denen der Mehrheit der Nutzenden gar nicht klar ist, welche personenbezogenen Daten sie weitergeben. Orts- und Bewegungsdaten werden heutzutage wie selbstverständlich übertragen, aber sie verraten nicht nur Aufenthaltsorte, sondern auch Kontakte. Besonders kritisch ist dies im Fall von Berufsgeheimnisträgern.
8. Datenschutz-Audits und Datenschutz-Gütesiegel
Zertifizierung kennt die Dienststelle schon seit vielen Jahren. Das ULD hat gute Erfahrungen damit gemacht, dass datenschutzfreundliche Lösungen evaluiert und ausgezeichnet werden können. Dies hat dazu beigetragen, dass durch die Datenschutz-Grundverordnung ab Mai 2018 alle Datenschutzbehörden bei der Zertifizierung einbezogen werden. Eine neue Pflichtaufgabe, die auf die Datenschutzbehörden zukommt, ist die Mitwirkung bei der Akkreditierung von Zertifizierungsstellen. Für Deutschland koordiniert das ULD diese Arbeiten.
Die Nachfrage nach Zertifizierungen ist besonders hoch im Gesundheitsbereich, wenn es um einen sicheren und rechtskonformen Datenaustausch geht. Nachgefragt werden auch die Begutachtungen nach IT-Grundschutz, um Informationssicherheit gemäß dem Schutzbedarf zu gewährleisten (Tz. 9.4). Auf eine angepasste Form der Grundschutzmethode greift das vom ULD mitentwickelte Standard-Datenschutzmodell (Tz. 6.3) zurück, das im Berichtszeitraum ebenfalls auf großes Interesse bei den Anwendern gestoßen ist.
9. Modellprojekte
In den Modellprojekten hat das ULD in den vergangenen Jahren vielfältige Erkenntnisse gewonnen, mit welchen Methoden sich ein besserer Datenschutz technisch und organisatorisch erreichen lässt. Zahlreiche Lösungen aus der wissenschaftlich geprägten Community, die sich mit „Privacy Engineering“ beschäftigt, stellen ihre Tauglichkeit in solchen Projekten unter Beweis, bevor Anwender sie auf dem Markt oder auf Open-Source-Plattformen finden können.
Ein Schwerpunkt der vergangenen Jahre sind Projekte zum Selbstdatenschutz (Tz. 8.2), in denen beispielsweise datensparsame Ausweissysteme (Tz. 8.2.1), anonymes Surfen im Internet (Tz. 8.2.2), datenschutzfreundliche App-Gestaltung (Tz. 8.2.3) oder bequemere Verschlüsselung (Tz. 8.2.4) erforscht werden. Doch auch Datenschutz-Lösungen für Cloud Computing (Tz. 8.3), für Smart Cars (Tz. 8.6.1) oder für die Benachrichtigung von Betroffenen bei Datenpannen (Tz. 8.4.2) haben unmittelbare Praxisrelevanz und dürfen nicht ignoriert werden.
10. Informationsfreiheit
Mit der Änderung des Informationsfreiheitsgesetzes Anfang 2017 wurden die Bemühungen des ULD für mehr Transparenz der öffentlichen Verwaltung zumindest teilweise umgesetzt (Tz. 12.1). Neben dem Auskunftsanspruch nach dem Informationszugangsgesetz Schleswig-Holstein soll mehr Offenheit der Daten durch ein zentrales Informationsregister erreicht werden. Dieses Register wird künftig aufgebaut und kann dann befüllt werden. Ab dem Jahr 2022 sind die Landesbehörden zum aktiven Bereitstellen zahlreicher Informationen verpflichtet.