Bild: Production Perig – stock.adobe.com

Datenschutzrechtliche Beratung von Ministerien, Unternehmen und Bürgerschaft zu Fragen der Pandemiebekämpfung war zentraler Schwerpunkt des vergangenen Jahres

Anstieg bei Beschwerden und Datenpannenmeldungen

Europäische Rechtsprechung wirkt sich unmittelbar auf das Land aus:
– Datentransfers in die USA kaum noch möglich
– Behörden-Betrieb von Social Media Kanälen rückt erneut in den Fokus

Datenschutz und Kultur: Kinderrechte und Mediennutzung bei Jugendlichen im Fokus

Bildungszentrum für Datenschutz und Informationsfreiheit (BIDIB) erfolgreich gestartet

LfDI Stefan Brink: „Die Vielfalt der Themen aus dem vergangen Jahr zeigt, wie umfangreich personenbezogene Daten der Bürger_innen im Land verarbeitet werden. Digitalisierung erhält Einzug in fast alle Lebensbereiche und bestimmt unsere Zukunft – auch und gerade in der Pandemie. Guter Datenschutz macht die Zukunft lebenswert, weil Bürger_innen auch unter dem Druck der Digitalisierung selbstbestimmt bleiben. Wir allein entscheiden, was mit unseren Daten geschieht. Datenschutz ist daher ein modernes Bürgerrecht, das nie aktueller war als heute.“

 

Das Jahr 2020 war aus Sicht des Datenschutzes von der Corona-Pandemie geprägt. Viele Grundrechte haben unter der Pandemie gelitten: Die Berufsfreiheit, die Reisefreiheit, die Versammlungsfreiheit und auch unser Grundrecht auf informationelle Selbstbestimmung, der Datenschutz. Alle Einschränkungen verfolgten allerdings ein hohes Schutzgut unserer Verfassung, das Recht auf Leben und körperliche Unversehrtheit. Hier einen vernünftigen Ausgleich zu finden, war und ist auch die Aufgabe des Datenschutzes.

Als Bürgerrecht nimmt der Datenschutz in der Pandemie eine herausgehobene Rolle ein. Zu den Corona-Verordnungen hat der Landesbeauftragte wo immer möglich dabei geholfen, dass die Verordnungen mit dem Datenschutzrecht vereinbar waren.

LfDI Brink: „Wir haben uns aktiv in die Pandemiebekämpfung eingebracht. Wir haben Ministerien beraten, Beschwerden der Bürger_innen bearbeitet und Unternehmen erläutert, wie sie rechtskonform die Corona-Verordnungen umsetzen können.

Der Tätigkeitsbericht zählt zahlreiche Fälle auf, in denen eine durch frühzeitige Einbindung des Landesbeauftragten wirksame Lösungen zur Erfassung von personenbezogenen Daten realisiert wurden.

Im Bildungsbereich wussten zu Beginn der Pandemie viele Schulen nicht, wie sie digitale Bildung datensicher und effektiv organisieren konnten. In Anbetracht der Notsituation nutzen Schulen digitale Techniken, die nicht immer datenschutzkonform waren. Eltern beschwerten sich folglich darüber, Lehrende waren oft verunsichert und verfügten zudem häufig nicht über klare Informationen, wie sie beispielsweise Videokonferenzsysteme datensparsam konfigurieren müssen.

Der Landesbeauftragte berät das Kultusministerium derzeit bei der Prüfung der Software MS Office 365, welches das Kultusministerium als Teil der Bildungsplattform Schulen zur Verfügung stellen möchte. Aktuell läuft der Praxistest im Rahmen eines Pilotprojektes zum Einsatz der Software; dabei wird überprüft, ob die vom Unternehmen zugesagten Sicherheiten beim Einsatz gewährleistet sind. Da Schulen über die Nutzung der Software selbst entscheiden und datenschutzrechtlich Verantwortliche sind, möchte das Kultusministerium zu ihrer Unterstützung eine einheitliche Plattform zur Verfügung stellen, was der Landesbeauftragte im Grundsatz unterstützt. Da an Schulen Daten von Minderjährigen verarbeitet werden, sind hier besondere Datenschutzmaßnahmen erforderlich.

Der Landesbeauftragte hat auch daran mitgewirkt, dass Lehrende anstelle des nicht datenschutzkonformen Messengers Whatsapp das datensichere Produkt Threema für ihre dienstliche Kommunikation nutzen.

LfDI Stefan Brink bei der Übergabe des Tätigkeitsberichts an die Präsidentin des Baden-Württembergischen Landtags Muhterem Aras. (Foto: S. Bozin)

 

Auch in anderen Lebensbereichen war das Bürgerrecht auf informationelle Selbstbestimmung berührt: Im Zusammenhang mit den Corona Verordnungen und den Regelungen zur Befreiung von der Maskenpflicht etwa waren die Bestimmungen unklar formuliert. In der Folge erreichte den Landesbeauftragten eine Vielzahl von Beschwerden und Anfragen. Im Kern ging es dabei um die Fragen, wie man glaubhaft macht, dass man keine Maske tragen muss, wer ein solches Attest sehen und über die Befreiung entscheiden darf und wie – wenn überhaupt – die Information über die Maskenbefreiung gespeichert wird.

Gemeinsam mit der Landesregierung und der DEHOGA konnte der Landesbeauftragte ein Formular für datenschutzkonforme Kontakterfassung erarbeiten und Betrieben zur Verfügung stellen.

Gleichwohl musste der Landesbeauftragte wiederholt Sammellisten untersagen, in denen zum Beispiel Besucher eines Cafés ihre Kontakte – einsehbar für andere – hinterlegen sollten. Ihn erreichten dazu zahlreiche Beschwerden, in einem Fall hatte ein Mitarbeiter eines Schnellrestaurants von einer Frau die Kontaktdaten genutzt und sie telefonisch belästigt. Die Bußgeldstelle leitete ein Verfahren ein.

Die Debatte über den Einsatz der Corona-Warn-App wurde im vergangenen Jahr intensiv geführt. Auch der Landesbeauftragte hat dazu mehrfach Stellung bezogen. Der dezentrale Ansatz, der auf Anonymität setzt und den Nutzer_innen die Entscheidung überlässt, ob und wie sie ihre personenbezogenen Daten teilen möchten, bleibt richtig. Aber eine Weiterentwicklung der App ist weiter nötig.

Stefan Brink: „Wir haben Vorschläge gemacht, wie man die Corona-Warn App wirksam verbessern kann. Die App ist sinnvoll, braucht aber eine konsequente Weiterentwicklung. Wir sind froh, dass zwar spät, aber noch im Herbst Updates für die App kamen, welche die Funktionalität verbessern und dass es insgesamt einen stärkeren Willen gibt, die App zu einer Informationsplattform auszubauen. Wir werden auch weiter für die Nutzung der App werben – aber nur, wenn die Privatsphäre geschützt bleibt.“

Statt frühzeitig Verbesserungen vorzunehmen, wurde dem Datenschutz vorgeworfen, er sei schuld an der mangelnden Wirksamkeit der App. Und es wurden Forderungen formuliert, den Datenschutz zu kappen, sobald die Pandemie vorüber ist.

Brink: „Bürgerrechte sollten in und auch nach der Pandemie nur beschränkt werden, soweit dies unbedingt notwendig ist. Der reflexhafte Ruf nach weniger Rechten für die Bürger_innen, die frei und selbstbestimmt handeln wollen, ist beschämend.“

Anstieg bei Beschwerden und Datenpannenmeldungen

Die Zahl der Datenpannenmeldungen und Beschwerden hingegen stieg deutlich. Auch wurden wieder etliche Bußgeldverfahren im Berichtszeitraum durchgeführt. Insgesamt haben wurden im Jahr 2020 Bußgelder in Höhe von rund 1,6 Millionen Euro erlassen, so viel wie noch nie. Die Zahl der Beschwerden steigt von rund 3800 im Jahr 2019 auf rund 4800 im Jahr 2020.

Die Zahl der Datenpannenmeldungen stieg im Vergleich zum Vorjahreszeitraum, in dem wir einen enormen Anstieg an Meldungen feststellten, noch einmal um rund 300.

Beratungsanfragen reduzierten sich hingegen um rund 550. Die Zahl der Kontrollen sank von über 110 im Jahr 2019 auf etwas über 30 im Jahr 2020 – in der Pandemie war nicht mehr möglich.

Der europäische Blick

Im Jahr 2020 hat der Europäische Gerichtshof insbesondere durch sein Urteil vom 16. Juli 2020 – oft als Schrems II-Urteil bezeichnet – erneut den Blick dafür geschärft, dass der Transfer personenbezogener Daten in Länder außerhalb Europas kein Selbstläufer ist und dass die diesbezüglichen Regelungen der DS-GVO erheblichen Sprengstoff in sich bergen.

Auf die verständliche Unsicherheit unter Verantwortlichen und Auftragsverarbeitenden, welche konkreten Folgen das Urteil hat und wie künftige notwendige Datenübermittlungen in Drittstaaten rechtssicher gehandhabt werden können, hat der Landesbeauftragte frühzeitig mit einer Orientierungshilfe reagiert, die Vorschläge für ein mögliches Vorgehen und eine Prüfungsreihenfolge vorlegt, wenn weiterhin personenbezogene Daten aus dem europäischen Wirtschaftsraum in Drittstaaten übermittelt werden sollen.

Das EuGH-Urteil führt nicht nur zu Unsicherheit unter den Datenverarbeitern, sondern bedeutet auch: Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DS-GVO einhalten. Die DS-GVO ist ein maßgeblicher Standortfaktor geworden.

Projektarbeit

Korrekte Datenschutzerklärungen zu formulieren fällt insbesondere kleineren Unternehmen und Vereinen schwer, da sie nicht über die Ressourcen verfügen, externe Datenschutzbeauftrage einschalten oder mit der eigenen Rechtsabteilung tätig werden zu können. Daher hat der Landesbeauftragte im vergangenen Jahr ein Projekt angestoßen, das nun in die Praxis überführt wird. Mit „DS-GVO.clever“ steht ab sofort ein Tool auf der Homepage des Landesbeauftragten zur Verfügung, mit dem Vereine eine verlässliche Datenschutzerklärung generieren und für die eigenen Zwecke nutzen können. Der Landesbeauftragte unterstützt damit die Vereine aktiv.

LfDI Brink: „DS-GVO.clever hilft konkret, einfach und wirksam. Es ist eine Hilfestellung für Vereine. Wir stehen an ihrer Seite und helfen ihnen, den Anforderungen des Datenschutzes gerecht zu werden. Einfach clever.“

Die Vereine sind und bleiben verantwortlich für ihre Datenverarbeitungen – mit „DS-GVO.clever“ können Vereine dieser Verantwortung auf einfache Weise gerecht werden (https://www.baden-wuerttemberg.datenschutz.de/ds-gvo.clever/)

In der kommenden Woche bietet das hauseigene Bildungszentrum BIDIB bereits die erste online-Schulung für Vereine an, damit sie sich mit „DS-GVO.clever“ vertraut machen können. Parallel laufen die Arbeiten an „DS-GVO.clever“ weiter, eine Reihe von Erweiterungen sind geplant. Als nächstes soll das Tool auch für Handwerksbetriebe zur Verfügung stehen.

Bildungszentrum BIDIB

Das Bildungszentrum für Datenschutz und Informationsfreiheit Baden-Württemberg (BIDIB) wurde am 1. Juli 2020 unter dem Motto „Datenschutz und Informationsfreiheit zum Anfassen“ gegründet. Ermöglicht wurde dies durch den Landtag, der hierfür die nötigen Mittel bereitstellte. Damit ist die Behörde des Landesbeauftragten bundesweit die erste Landesbehörde, die ein eigenes Bildungszentrum betreibt.

Der Start des Bildungszentrums stieß auf sehr viel positive Resonanz. Das BIDIB hat nicht nur zahlreiche Kooperationsangebote erhalten, es nimmt auch Wünsche von Vereinen, Unternehmen, Verbänden, Schulen sowie Behörden auf und setzt Fortbildungen und Schulungen an, wenn die jeweiligen Themen viele Menschen betreffen und interessieren.

Für das Frühjahr steht beim Landesbeauftragten ein Umzug an. Die gesamte Behörde bezieht neue Räumlichkeiten unweit des bisherigen Standortes. In den vergangenen Jahren ist die Behörde personell deutlich gewachsen, sodass sie mehr Platz braucht. Im diesem Zuge werden auch Räumlichkeiten für das Bildungszentrums eingerichtet und technisch so ausstattet, dass es Fortbildungen, Schulungen, Vorträge, Diskussionen und Fachgespräche analog und digital konsequent und qualitativ gut durchführen kann. Das Bildungszentrum ist ein ausgezeichneter Ort für die Beratung, Vermittlung, Schulung und Qualifizierung und erhält jetzt die zeitgemäße Infrastruktur.

Datenschutz als Kulturaufgabe

Der Umgang mit personenbezogenen Daten ist nicht zuletzt eine Kulturfrage. Digitalisierung ist Teil des Alltags geworden, sie bestimmt unsere zukünftige Entwicklung. Und der Umgang mit der Digitalisierung ist eine Kulturtechnik. Bürger_innen entscheiden selbstbestimmt darüber, wie ihre Daten verarbeitet werden. Dass Daten verarbeitet werden, ist heute selbstverständlich. Doch diese Verarbeitung geschieht nicht im rechtsfreien Raum und darf nicht am Bürger vorbei gehen, um dessen Daten es geht.

Zahlreiche Projekte gerade mit Blick auf die Kinder standen im Kulturbereich im Jahr 2020 im Fokus – nach dem Motto: „Datenschutz – kinderleicht!?“. Mit dem Kinderstück „Alice lost in Cyberland“, weiteren Kinderprojekten sowie Vorträgen zu Kinderrechten förderte der Landesbeauftragte die datenschutzkonforme Nutzung von digitalen Angeboten. Gerade mit Blick darauf, dass das Recht auf Vergessenwerden noch nicht vollständig umgesetzt wird, ist es extrem wichtig, dass Kinder und Jugendliche einen bewussten Umgang mit digitalen Angeboten erlernen.

LfDI Brink: „Digitalisierung und Datenschutz gehören zusammen. Es ist eine gesellschaftliche Aufgabe, das Bürgerrecht auf informationelle Selbstbestimmung auch in der digitalen Welt zu stärken. Wir arbeiten auch in Zukunft konsequent für dieses Bürgerrecht.“

Diese Pressemitteilung als PDF-Dokument aufrufen.

Hier finden Sie den Tätigkeitsbericht Datenschutz 2020.

Hier finden Sie den aktuellen Podcast Datenfreiheit, Folge 8: Datenschutz-Tätigkeitsbericht 2020.

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.