LfDI Stefan Brink übergibt der Landtagspräsidentin Muhterem Aras den Tätigkeitsbericht Datenschutz 2021. Bild: LfDI BW

Datenschutzrechtliche Beratung von Ministerien, Unternehmen und Bürgerschaft zu Fragen der Pandemiebekämpfung war zentraler Schwerpunkt des vergangenen Jahres

Deutlicher Anstieg bei Datenpannenmeldungen

Bildungszentrum für Datenschutz und Informationsfreiheit (BIDIB) trotz Pandemie sehr erfolgreich

Wege zur Freiheit: Nach der Pandemie sollen die Bürger_innen ihre Bürgerrechte wieder frei ausüben können

LfDI Dr. Stefan Brink: „Wir stehen Bürger_innen konsequent zur Seite und gehen möglichen Verletzungen ihres Grundrechts auf informationelle Selbstbestimmung nach. Wir helfen Behörden und Unternehmen zudem, Digitalisierung zu gestalten und frühzeitig Risiken für die Rechte der Menschen auszuschließen. Wir zeigen Wege auf, wie Datenschutz und Digitalisierung zusammen gedacht und auch zusammen gemacht werden können. Ohne Datenschutz und IT-Sicherheit ginge die digitale Entwicklung zulasten der Bürger_innen und wäre zum Scheitern verurteilt – wir wollen Datenschutz und Digitalisierung zum Erfolg verhelfen.“

Tätigkeitsbericht Datenschutz 2021 als pdf

Das Jahr 2021 war aus Sicht des Datenschutzes weiter stark von der Corona-Pandemie geprägt. Mit fortschreitender Dauer wurden die Eingriffe in das informationelle Selbstbestimmungsrecht allerdings fast durchweg gravierender. Bei den Corona-Verordnungen der Landesregierung hat der Landesbeauftragte dabei geholfen, die Verordnungen mit dem Datenschutzrecht zu vereinbaren. Ende vergangenen Jahres begann zudem eine intensive politische Diskussion über die Einführung einer Impfpflicht und eines Impfregisters. Der Landesbeauftragte berät die Landesregierung auch hierbei intensiv und bringt alle datenschutzrechtlichen Aspekte in die politische Diskussion ein.

Die pandemiebedingten Einschränkungen der Bürgerrechte schützen ein hohes Gut unserer Verfassung, nämlich das Recht auf Leben und körperliche Unversehrtheit. Hier einen vernünftigen Ausgleich mit unseren Freiheitsrechten zu finden, war und ist auch die Aufgabe des Datenschutzes.

Harte Eingriffe in vielen Lebensbereichen

Die intensiven Eingriffe in die Selbstbestimmung der Menschen waren vielfältig: Ohne 3G- bzw. 2G-Status wurden Bürger_innen Dienstleistungen verwehrt, mit der Einführung von 3G am Arbeitsplatz wurde ein gesellschaftliches Tabu gebrochen – Gesundheitsinformationen der Beschäftigten gingen Arbeitgebende bislang grundsätzlich nichts an; Studierende waren bei Online-Prüfungen massiven Kontrollen ausgesetzt, Gesundheitsdaten wurden massenweise erhoben und verwertet. Bei manchen Testzentren beispielsweise musste dabei leider festgestellt werden, dass sensible Daten zum Teil tausendfach offen einsehbar waren.

Erfreuliche Entwicklungen konnte der Landesbeauftragte im vergangenen Jahr allerdings ebenfalls feststellen: Das Kultusministerium etwa hat im Juli 2021 entschieden, Schulen eine datenschutzkonforme digitale Bildungsplattform zur Verfügung zu stellen, um einen qualitativ hochwertigen Fernunterricht sicherzustellen.

Im Rahmen seiner Beratung des Kultusministeriums hatte der Landesbeauftragte Anfang des vergangenen Jahres ein Pilotprojekt zum Einsatz einer speziell konfigurierten Variante des Cloud-Dienstes Microsoft 365 als Teil der geplanten Bildungsplattform begleitet. Auf Grundlage der gewonnenen Prüfergebnisse (u.a. ungeklärte Datenflüsse personenbezogener Daten, Verarbeitungen von persönlichen Daten zu eigenen Zwecken von Microsoft, problematische Übermittlungen von Daten etwa in die USA) hat der Landesbeauftragte davon abgeraten, diese Software an Schulen einzusetzen und empfohlen, verstärkt nach Alternativen zu suchen.

Zugleich erhöht der Landesbeauftragte seine Beratungsleistung: In diesem Jahr bietet das Bildungszentrum BIDIB den verantwortlichen Schulen und Lehrkräften eine Vielzahl von Schulungen und Workshops an, um datenschutzkonforme digitale Bildung sicherzustellen. Hierfür hat der Landtag dem Landesbeauftragten für die Dauer von zwei Jahren zusätzliche Stellen genehmigt. Mit diesen Maßnahmen unterstützt der Landesbeauftragte Schulen, Lehrkräfte, Eltern und Schüler_innen dabei, auch während der Pandemie optimale Schulbildung zu ermöglichen. Und die Perspektive ist klar: Künftig gibt es eine datenschutzkonforme digitale Bildungsplattform

Insgesamt wurden im Jahr 2021 zugleich viele Chancen der Digitalisierung genutzt: Home-Office-Regelungen in Betrieben und Behörden wurden eingeführt, Videokonferenzen haben Menschen auch über räumliche Distanz zusammengebracht, die Digitalisierung hilft bei der Bewältigung der Pandemie. Der Landesbeauftragte hat diese Entwicklung nach Kräften unterstützt und hofft, dass die zahlreichen positiven Entwicklungen fortgeführt werden können.

Wege aus der Pandemie – zurück zur Freiheit

Die Corona-Pandemie hat die Dienststelle des Landesbeauftragten im vergangenen Jahr intensiv gefordert. Zugleich öffneten sich Ende 2021 Perspektiven, den Bürger_innen wieder mehr Freiheiten zu ermöglichen. So etwa bei der Diskussion, die Strategie des Landes bei der Kontaktnachverfolgung anzupassen. In der Corona-Verordnung wurde die Nutzung der Corona-Warn-App für die digitale Kontaktdatenerfassung zugelassen und damit auch entschieden, dass Bürger_innen ihre Standortdaten nicht zwingend an das Gesundheitsamt übermitteln müssen. Ist die sehr umfassende Datenverwertung nicht länger zum Gesundheitsschutz notwendig, entfällt der Zweck für den breiten Einsatz der digitalen Kontaktdatenerfassung. Mit der am Mittwoch, 9.2., in Kraft tretenden Änderungsverordnung kommt die Landesregierung dieser Forderung nach und verzichtet weitgehend auf die Kontaktdatenerfassung.

Der Landesbeauftragte wird, sobald die Pandemie überwunden ist, alle pandemiebedingten Grundrechtseingriffe auf den Prüfstand stellen. Er wird auf Unternehmen zugehen, die 3G-Nachweise gespeichert haben, und auf deren Löschung dringen. Gesundheitsinformationen, wie etwa Informationen zu Schwangerschaften oder zu Autoimmunerkrankungen von Beschäftigten dürfen künftig nicht dazu genutzt werden, um Arbeitsverträge zu beenden oder eine Beförderung zu versagen. Auch wird der Landesbeauftragte die Eingriffsbefugnisse des Staates, die mit der Pandemie-Bekämpfung begründet wurden, auf den Prüfstand stellen.

Der Landesbeauftragte Stefan Brink: „Zugunsten des Gesundheitsschutzes wurden harte Grundrechtseingriffe beschlossen. Es ist nur folgerichtig, diese pandemiebedingten Eingriffe nach der Pandemie wieder zurückzunehmen. Genau darauf werden wir drängen.“

Das Jahr 2021 in Zahlen: Deutlicher Anstieg der Datenpannenmeldungen

Auch im Jahr 2021 erreichten den Landesbeauftragten eine Vielzahl von Beschwerden. Mit 4.708 Beschwerden im Jahr 2021 (74 weniger als 2020) bleibt die Zahl der Beschwerden weiterhin sehr hoch. Die Zahl der Datenpannenmeldungen stieg sogar um mehr als 25 Prozent und erreichte mit 3.136 Meldungen einen neuen Höchststand. Eine große Sicherheitslücke bei Microsoft Exchange führte zu sehr vielen Meldungen beim Landesbeauftragten. Auch Verschlüsselungstrojaner setzen zahlreichen Betroffenen zu.

Die Zahl der direkten Beratungsanfragen an die Dienststelle des Landesbeauftragten ist gesunken, gleichzeitig stiegen die Anmeldungen zu Veranstaltungen beim Bildungszentrum für den Datenschutz und die Informationsfreiheit (BIDIB) deutlich. Im vergangenen Jahr verzeichnete der Landesbeauftragte 2.206 Beratungsanfragen (-1.079 im Vergleich zum Vorjahr) sowie 2.016 Anmeldungen zu Veranstaltungen des Bildungszentrums (+1.231 im Vergleich zum Vorjahr).

Die Zahl der durchgeführten Kontrollmaßnahmen reduzierte sich pandemiebedingt von 31 im Jahr 2020 auf 10 im Berichtszeitraum. 129 Bußgeldverfahren waren anhängig, 14 Bußgeldbescheide wurden erlassen. Insgesamt wurden Bußgelder in Höhe von 319.700 Euro festgesetzt. Das Verfahren gegen den VfB Stuttgart wurde auch öffentlich intensiv diskutiert.

IT-Sicherheit und Datenschutz

Das Jahr 2021 hat gezeigt: Die Zahl der Cyber-Attacken auf Behörden und Unternehmen steigt. Die beim Landesbeauftragten eingehenden Datenpannenmeldungen sind ein deutlicher Hinweis darauf, wie sehr die IT-Infrastruktur immer mehr unter Beschuss steht. Behörden und Unternehmen sollten ihre Bemühungen für mehr IT-Sicherheit daher konsequent ausbauen. Solche Attacken sind keine Naturkatastrophen, die aus dem Nichts kommen und gegen die man machtlos wäre. Auch wenn es keine 100prozentige Sicherheit gibt vor Angriffen und Datendiebstahl: ein hohes Sicherheitsniveau und gut ausgestattete IT-Fachleute im eigenen Haus helfen Behörden und Unternehmen dabei, Risiken zu minimieren. In Baden-Württemberg wurde von der Landesregierung eine eigene Cybersicherheitsagentur gegründet, die berät und Unterstützung bei Fragen der IT-Sicherheit anbietet. „Die Einrichtung der Cybersicherheitsagentur zeigt, dass die Landesregierung das Thema ernst nimmt“, so der Landesbeauftragte Stefan Brink.

Im Bereich des Einsatzes von Künstlicher Intelligenz (KI) hat der Landesbeauftragte im vergangenen Jahr auf Europäischer Ebene an der Ausarbeitung einer KI-Verordnung mitgewirkt und sich im Rahmen einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) intensiv eingebracht. In diesem Jahr verstärkt der Landesbeauftragte seine KI-Beratung insbesondere von Start-Ups und kleineren und mittleren Unternehmen (KMUs) sowie bei der Medizinforschung; er unterstützt dabei, neue Technologien wirksam und datenschutzkonform einzusetzen. Hierfür hat der Landtag dem Landesbeauftragten neue Stellen bewilligt, sodass er nun Unternehmen noch besser bei der digitalen Transformation beiseite stehen kann. Der Landesbeauftragte wird in diesem Jahr zudem eine eigene Veranstaltungsreihe zu Themen der Künstlichen Intelligenz konzipieren und für die breite Öffentlichkeit anbieten.

Digitale Transformation ermöglichen

Behörden, Unternehmen und andere Institutionen müssen die Bürgerrechte auch in der digitalen Welt respektieren. „Als Aufsichtsbehörde gehört es zu unserer täglichen Arbeit, Beschwerden nachzugehen, Fehlverhalten zu korrigieren und im Zweifel auch Untersagungen und Sanktionen auszusprechen“, so der Landesbeauftragte Brink. Die Datenschutz-Grundverordnung stärke die Befugnisse der Aufsichtsbehörden ungemein.

LfDI Stefan Brink: „Wir stehen Bürger_innen konsequent zur Seite und gehen möglichen Verletzungen ihres Grundrechts auf informationelle Selbstbestimmung nach. Wir helfen Behörden und Unternehmen zudem, Digitalisierung zu gestalten und frühzeitig Risiken für die Rechte der Menschen auszuschließen. Wir zeigen Wege auf, wie Datenschutz und Digitalisierung zusammen gedacht und auch zusammen gemacht werden können. Ohne Datenschutz und IT-Sicherheit ginge die digitale Entwicklung zulasten der Bürger_innen und wäre zum Scheitern verurteilt – wir wollen Datenschutz und Digitalisierung zum Erfolg verhelfen.“

Für den Landesbeauftragten ist die Beratungsleistung daher zentral, um frühzeitig datenschutzkonforme Entwicklungen zu fördern und auf Rechtssicherheit hinzuwirken.

Datenschutz ist Freiheitsschutz

Der Umgang mit personenbezogenen Daten ist eine Kulturtechnik, die in der datengetriebenen vernetzten Welt von immer größerer Bedeutung ist. Bürger_innen entscheiden frei und selbstbestimmt über die Nutzung ihrer eigenen Daten. Behörden und Unternehmen müssen mit diesen Daten sorgfältig umgehen und Bürger_innen die Möglichkeit geben, ihr Selbstbestimmungsrecht auszuüben. Datenschutz ist kein Randthema mehr, es tangiert sehr viele Lebensbereiche und ist damit auch im gesellschaftlichen Alltag von Bedeutung.

Die Informations- und Diskussionsangebote des Landesbeauftragten finden Gehör. Der Internetauftritt des Landesbeauftragten verzeichnet täglich bis zu 7.500 Aufrufe. Die Handreichungen des Landesbeauftragten werden tausendfach abgerufen und dienen Verantwortlichen und Bürger_innen als nützliche praktische Hilfe. So interessierten etwa die Handreichung zu 3G am Arbeitsplatz, das Positionspapier zur Lohnfortzahlung im Krankheitsfall, die Aktualisierung der Hilfe zum Schrems II-Urteil, die Hinweise zu Online-Prüfungen an Hochschulen und Videokonferenzsystemen, die Scoring-Broschüre und weitere Praxishilfen insgesamt mehr als 100.000 Menschen. Der LfDI-Newsletter interessiert inzwischen über 5.000 Abonnent_innen.

Über seinen Social-Media-Kanal auf Mastodon (https://bawü.social/@lfdi) informiert und kommuniziert der Landebeauftragte direkt mit Bürger_innen. Mittlerweile haben auch mehrere Ministerien und zahlreiche weitere öffentliche Stellen wie Kommunen und Hochschulen entschieden, auf dem Mastodon-Server, den der LfDI selbst betreibt, einen Account einzurichten und somit datenschutzkonform digital zu kommunizieren.

Mit der neu eingeführten Videoreihe „B. sucht Freiheit“ öffnet sich die Dienststelle des Landebeauftragten weiter und führt das Gespräch mit Persönlichkeiten, die sich intensiv mit den Freiheitrechten Datenschutz und Informationsfreiheit auseinandergesetzt habe. Zum Auftakt der Reihe sprach der Landebeauftragte Brink mit Bundesinnenminister a.D. Gerhart Baum und dem Soziologen Harald Welzer.

Im vergangenen Jahr haben die Fachleute aus der Technikabteilung beim Landesbeauftragten auch die LfDI-App für Applegeräte entwickelt. Eine Android- und f-Droid Version, die extern entwickelt wurden, stehen kurz vor der Veröffentlichung. Neben dieser LfDI-App bietet der Landesbeauftragte mit „DS-GVO.clever“ ein Tool für Vereine und ebenso für kleinere Unternehmen an, die nun einfach, schnell und wirksam eigene Datenschutzhinweise erstellen können.

Der Landesbeauftragte Stefan Brink: „Datenschutz ist Freiheitsschutz und hilft dabei, dass Bürger_innen frei und selbstbestimmt entscheiden können, was sie mit ihren höchstpersönlichen Daten machen möchten. Das gilt gerade in der digitalen Welt. Datenschutz und Digitalisierung funktionieren nur zusammen. Wir werden weiter die digitale Transformation intensiv begleiten.“

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.