Freitag, 27. März 2020

2: Pressemitteilungen

Datenschutzbericht für das Jahr 2019: mehr Bewusstsein, mehr Fragen, mehr Datenpannen

38. Tätigkeitsbericht des ULD
Zum Volltext des Berichts

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen.

Datenschutz in Zeiten der Corona-Pandemie?

„Ja, besonders in Krisenzeiten ist Datenschutz wichtig“, sagt Hansen. „Fast täglich melden sich Menschen bei uns, die Angst um ihre Daten haben. Sie fühlen sich nicht gut genug informiert, um verstehen zu können, wie der Staat, Firmen oder ihr Arbeitgeber mit den Daten umgehen, die dort mit der Begründung „Corona“ gesammelt und ausgewertet werden. Auch befürchten sie, dass ihre Daten nicht ausreichend gegen einen unbefugten Zugriff geschützt sind und
missbraucht werden könnten. Deswegen informieren wir regelmäßig über unsere Webseite.“

 

 

Überlegtes Vorgehen statt halbgarer Schnellschüsse – realistisch?

An vielen Stellen werden neue Datenverarbeitungen zurzeit eingeführt, z. B. Registrierungspflichten von Kundinnen und Kunden oder von Beschäftigten im Handwerk. Auch werden Systeme aufgebaut, damit zahlreiche Akteure im Gesundheitsbereich Zugriff auf bestimmte Daten von Kranken oder ihren Kontaktpersonen erhalten. Hansen kann die hohe Geschwindigkeit im Krisenmodus nachvollziehen, aber besteht darauf, dass stets die Verhältnismäßigkeit der geplanten Datenverarbeitungen geprüft wird und ausreichende Garantien für die Rechte und Freiheiten der Menschen gegeben sind.

 

 

„Im vergangenen Jahr haben wir festgestellt, dass einerseits das Bewusstsein für Datenschutz in der Bevölkerung gestiegen ist – das zeigt sich an der großen Zahl von Beschwerden und Fragen. Andererseits gibt es mit den betrieblichen und behördlichen Datenschutzbeauftragten Vor-Ort-Kompetenz bei den Firmen und Behörden. Das sind die tragenden Säulen für guten Datenschutz, weil sie die internen Prozesse ihrer Organisation in den Blick nehmen und bewerten. Bedingung dafür ist aber, dass sie ihren Job auch machen können, die erforderliche Fachkompetenz haben und die Verantwortlichen ihren Rat einholen – das klappt bisher nicht überall.“

Datenschutz­beauftragte tragende Säulen:
Textziffer 1.3

 

Für die aktuelle Situation bedeutet dies: „Wer nun bei den Anpassungen oder Neugestaltungen der Datenverarbeitungen (z. B. für Homeoffice oder die Verarbeitung von Gesundheitsdaten) seine Datenschutzbeauftragte oder seinen Datenschutzbeauftragten nicht darüber informiert hat, sollte dies dringend nachholen!“, so Hansen. Für die Beratung der betrieblichen und behördlichen Datenschutzbeauftragten steht Hansens Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), weiterhin zur Verfügung.

 

 

Digitalisierung mit Datenschutz und Sicherheit

Hansen erwartet durch die Corona-Pandemie einen Schub für die Digitalisierung: „Allerdings dominieren weiterhin globale Player auf dem Markt, die es mit Datenschutz nicht so genau nehmen. Hier rächt sich, dass man zu wenig auf sichere und datenschutzfreundliche Alternativen gesetzt hat. Eigentlich bietet die Datenschutz-Grundverordnung die Instrumente, um die globalen Marktakteure auf Einhaltung des Datenschutzes zu verpflichten – das erfordert aber einen langen Atem der Aufsichtsbehörden in Europa und den Weg durch die gerichtlichen Instanzen.“ Dies liegt laut Hansen auch an den abstrakten Formulierungen in der Datenschutz-Grundverordnung (DSGVO), die von den Aufsichtsbehörden und Gerichten konkretisiert werden müssen.

DSGVO:
Textziffer 2.4

 

Bessere
Sicherheit:
Textziffer 2.3

 

Gerichtliche Verfahren können sich über einen langen Zeitraum erstrecken: Seit 2011 läuft das Verfahren zu einem ULD-Bescheid zur Deaktivierung einer Facebook-Fanpage, für das der Europäische Gerichtshof (2018) und das Bundesverwaltungsgericht in Leipzig (2019) deutlich gemacht haben, dass sich keine Organisation, die solche Fanpages einsetzt, der datenschutzrechtlichen (Mit-)Verantwortung entziehen kann. Im Jahr 2020 wird sich erneut das Schleswig-Holsteinische Oberverwaltungsgericht damit beschäftigen.

Facebook‐
Fanpages:
Textziffer 7.1

 

Ein weiteres Instrument der Datenschutz-Grundverordnung – die Zertifizierung der Einhaltung der Datenschutz-Grundverordnung – läuft noch leer, obwohl sich Hansens Dienststelle dafür in besonderem Maße einsetzt. „Viele Leute möchten sich schnell mit einem Datenschutz-Zertifikat einen Überblick verschaffen können, ob eine Datenverarbeitung datenschutzkonform ist – das ist aber zurzeit schwierig. Immerhin geht es nun in Europa voran. Wir erwarten, dass die ersten Zertifizierungsverfahren in Deutschland dieses Jahr begonnen werden können“, sagt Hansen.

Zertifizierung:
Textziffer 9

 

Die zunehmende Digitalisierung sieht Hansen als Chance, wenn Datenschutz – und auch Informationsfreiheit – gleich von Anfang an eingebaut werden, also „by Design“. Aus ihrer Sicht besonders relevant sind die passenden Pseudonymisierungs- und Anonymisierungsverfahren, wie sie nun auch für die Forschung mit Gesundheits- und Pandemiedaten diskutiert werden. Nachholbedarf besteht zudem in Bezug auf bessere Transparenz.

Pseudonymi‐
sierung:
Textziffer 10.1


Transparenz:
Textziffer 1.5

 

Datenpannen – ein Grund zur Sorge!

Im Vergleich zum Vorjahr sind 2019 sehr viel mehr Datenpannen an das ULD gemeldet worden als früher. Hansen geht dabei von einer enormen Dunkelziffer aus: „Die Datenpannen, die uns gemeldet werden, zeigen, dass in den Organisationen ein Bewusstsein dafür vorhanden ist und ein Meldeprozess etabliert wurde, so wie es rechtlich geboten ist. Die Datenpannen sind ganz verschieden: fehladressierte Schreiben, offene E-Mail-Verteiler, verlorene USB-Sticks, Rechner-Infektionen mit Schadsoftware oder Programmierfehler – all dies wird uns fast täglich gemeldet.“ Sorgen bereiten Hansen aber nicht nur die Zunahmen bei Infektionen mit Schadsoftware, die immer wieder wellenartig auch in Schleswig-Holstein auftreten, sondern vor allem solche Bereiche, in denen gar nicht oder sehr sparsam gemeldet wird: „Es wäre zumindest ungewöhnlich, wenn bei Tausenden von Beschäftigten, die mit personenbezogenen Daten umgehen, nie Datenschutzfehler aufträten.“ Im Jahr 2019 ist im ULD aus dem Bereich der Justiz nur eine einzige Datenpannenmeldung eingegangen. Der Polizeibereich hat für das ganze Jahr sogar überhaupt keine Datenpanne gemeldet. Hier fragt sich Hansen in ihrem Bericht, ob die Bediensteten ausreichend für das Thema sensibilisiert und Meldewege definiert und bekannt gemacht wurden.

Datenpannen:
Textziffer 1.4


/ Polizei:
Textziffer 4.2.5


/ Justiz:
Textziffer 4.3.3


/ Medizin:
Textziffer 4.5


/ Wirtschaft:
Textziffer 5.3

 

Auch in der aktuellen Situation der Corona-Pandemie ist es Hansen wichtig, dass nicht fahrlässig mit den sensiblen Gesundheitsdaten umgegangen wird – von der Erhebung bis zur Löschung, unabhängig davon, ob sie digital oder auf Papier vorliegen. Sie betont: „Dass letztes Jahr kubikmeterweise Patientendaten in der Innenstadt frei zugänglich waren, darf sich nicht wiederholen.“ Auch ist Sorgfalt vonnöten, wenn personenbezogene Daten nicht im Büro, sondern im Homeoffice verarbeitet werden. „Zurzeit werden uns weniger Datenpannen gemeldet als früher. Für die nahe Zukunft erwarte ich jedoch eine größere Verbreitung von Schadsoftware, weil viele Rechner außerhalb einer professionellen Unternehmensinfrastruktur ins Internet gehen. Das Risiko für Fehler oder Datenmissbrauch steigt gerade.“

Patienten‐
daten in der
Innenstadt:
Textziffer 4.5.5

 

Datenschutzbericht für 2019: Zahlen und Fakten

Im Jahr 2019 hat das ULD auf Basis von Beschwerden betroffener Personen in eigener Zuständigkeit 915 Verfahren eingeleitet. Der Anteil der Beschwerden im öffentlichen Bereich lag bei etwa einem Viertel, der überwiegende Teil betraf den nichtöffentlichen Bereich (primär die Datenverarbeitung durch Unternehmen). Ein Teil der Beschwerden wurde mangels Zuständigkeit des ULD an andere Aufsichtsbehörden abgegeben.

 

 

Zusätzlich wurden 349 Datenpannen nach Art. 33 Datenschutz-Grundverordnung an das ULD gemeldet. Im Vergleich zum Vorjahr, in dem diese Meldepflicht ab dem 25. Mai 2018 galt, hat sich die durchschnittliche Zahl der gemeldeten Datenpannen pro Monat von knapp 18 auf mehr als 29 Fälle erhöht.

 

 

Zahl der eingeleiteten Verfahren zu gemeldeten Datenpannen

Bei Nachfragen wenden Sie sich bitte an:

Die Landesbeauftragte für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Holstenstraße 98, 24103 Kiel

Tel: 0431 988-1200, Fax: -1223
E-Mail: mail@datenschutzzentrum.de