Tätigkeitsbericht Datenschutz 2022

Datenschutz und Digitalisierung: Landesbeauftragter unterstützt nachhaltige digitale Entwicklung

Bildungszentrum für Datenschutz und Informationsfreiheit (BIDIB) sehr erfolgreich

Viele pandemiebedingte Grundrechtseingriffe wurden aufgehoben;
Zahl der Beschwerden auf Vor-Corona-Niveau

Der Leitende Beamte beim LfDI Dr. Jan Wacke: „Wir sehen den Erfolg unserer Arbeit darin, daran mitzuwirken, dass Bürger_innen erst gar nicht in ihrem Recht auf Datenschutz verletzt werden. In gravierenden Fällen sind gleichwohl Sanktionen erforderlich, um Recht durchzusetzen. Vorrangig wollen wir aber dafür eintreten, dass Datenschutz als selbstverständlicher Teil der Digitalisierung verstanden wird und so eine nachhaltige digitale Entwicklung in der alltäglichen behördlichen, unternehmerischen und gesellschaftlich-kulturellen Praxis gestärkt wird.“

Den 38. Tätigkeitsbericht 2022 gibt es hier zum Download: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/

Leitender Beamte Jan Wacke und Landtagsdirektorin Christine Werner im Landtag BW.

Datenschutz und Digitalisierung gehören zusammen und ermöglichen nur gemeinsam eine nachhaltige Entwicklung. Datenschutz ohne Digitalisierung entkoppelt sich von der digitalen Transformation und kann Bürger_innen nicht wirksam bei der Wahrung ihre Rechte unterstützen. Digitalisierung ohne Datenschutz wiederum relativiert die Bürgerrechte.

Das Jahr 2022 war aus Datenschutzsicht von der Beratung verantwortlicher Stellen geprägt. Im vergangenen Jahr hat der Landesbeauftragte intensiv daran mitgewirkt, eine nachhaltige Entwicklung zu ermöglichen. Die vielen Einzelfälle, die die Fachleute beim Landesbeauftragten tagtäglich bearbeiten, zeigen, wie groß der Bedarf an Aufklärung über den Datenschutz und Klärung von datenschutzrechtlichen Sachverhalten ist.

Die Datenschutz-Grundverordnung (DS-GVO) ist noch relativ jung. Gleichwohl sind ihre wesentlichen Grundsätze gut reflektiert und stehen der Digitalisierung offen gegenüber. Hiervon können sowohl die Bürger_innen als auch die verantwortlichen Stellen profitieren.

Forschung genießt weitreichende Privilegien

Im Jahr 2022 hat sich der LfDI besonders der Frage gewidmet, wie die wissenschaftliche Forschung noch besser gefördert und zugleich ein angemessener Schutz der von den Forschenden benötigten personenbezogenen Daten ermöglicht werden kann. Diesen Interessenausgleich sieht die Datenschutz-Grundverordnung vor. Dabei räumt die DS-GVO der wissenschaftlichen Forschung ein Forschungsprivileg ein, über das der LfDI bei seinen Beratungen aufklärt.

Dabei war im Jahr 2022 insbesondere die Forschung mit Gesundheitsdaten im Fokus. Denn die Gesundheitsforschung ist mit Blick auf die Möglichkeiten zur Verbesserung von Gesundheits-Vorsorge und -Versorgung von ganz besonderer gesellschaftlicher Bedeutung, die durch die Corona-Krise nochmals unterstrichen wurde. Auf der anderen Seite sind Gesundheitsdaten besonders sensibel und werden daher von der DS-GVO zu Recht als besonders schutzwürdig eingestuft.

Um sowohl das Vertrauen der Bürger_innen in den Umgang der Forschenden mit ihren Daten zu stärken und gleichzeitig eine gute Forschung zu ermöglichen, hat der LfDI im Berichtsjahr intensiv beraten. Er hat beispielsweise Universitätsklinika bei der Corona-Forschung unterstützt. Darüber hinaus beriet er die Landesregierung und die im „Forum Gesundheitsstandort Baden-Württemberg“ zusammengefassten Unternehmen und Einrichtungen einschließlich der Landesgesellschaft Bio-Pro Baden-Württemberg GmbH mit Blick auf deren Ziel, die medizinische Forschung und die Gesundheitswirtschaft zu stärken sowie die Gesundheitsversorgung der Menschen in Baden-Württemberg weiter zu verbessern – und wird diese Beratung auch weiterhin fortsetzen.

Nach der Pandemie zurück zur Freiheit

Zugunsten des Gesundheitsschutzes wurden während der Corona-Pandemie harte Grundrechtseingriffe beschlossen, auch das Grundrecht auf informationelle Selbstbestimmung geriet stark unter Druck.

Im Laufe des vergangenen Jahres entfielen zahlreiche pandemiebedingte Eingriffe in die informationelle Selbstbestimmung, was der Landesbeauftragte sehr begrüßt. Er hat daher auch darauf geachtet, dass nicht mehr zur Pandemiebewältigung notwendige Eingriffe in den Datenschutz auch tatsächlich nicht mehr vorgenommen werden – und bei seinen Prüfungen bei verantwortlichen Stellen festgestellt, dass sich viele insoweit auch datenschutzkonform verhalten haben.

Nur noch wenige pandemiebedingte Eingriffe in den Datenschutz waren gegen Ende des Berichtszeitraums noch in den Corona-Verordnungen vorgesehen. Hierzu gehörte insbesondere die Ermächtigung des Polizeivollzugsdienstes, die Einhaltung der Maskenpflicht und von Pflichten zur Vorlage von Impf-, Genesenen- und Testnachweisen zu kontrollieren. Darüber hinaus wurde dem Polizeivollzugsdienst noch immer die Möglichkeit eingeräumt, sich über Corona-Maßnahmen gegen Infektionsverdächtige im Wege eines elektronischen Abrufverfahrens zu informieren. Die erwähnten Kontrollmöglichkeiten des Polizeivollzugsdiensts sind inzwischen abgeschafft, und wegen der Beendigung des Abrufsystems für den Polizeivollzugsdienst über Corona-Maßnahmen steht der LfDI derzeit in gutem Austausch mit dem Sozialministerium.

Anlässlich der bevorstehenden Beendigung des Abrufsystems wird der Landesbeauftragte dessen bisherige Nutzung durch Polizeivollzugsdienst kontrollieren.

Wo nötig, wird der Landesbeauftragte regulatorische Vorgaben und Datenverarbeitungen, die nicht mehr notwendig sind, auch künftig auf den Prüfstand stellen und datenschutzwidrige Verarbeitungen abstellen.

Zukunftsthema Künstliche Intelligenz

Der Landtag hat den Bereich der Künstlichen Intelligenz beim Landesbeauftragten personell gestärkt. Somit können zukunftsorientiert etwa Start-ups in der Wirtschaft und Akteur_innen im Gesundheits-, Sozial- und Bildungswesen wirksam beraten und unterstützt werden.

Konkretes Wissen über den Unterstützungsbedarf bei verantwortlichen Stellen, die digitale Technologien einsetzen, sowie Wissen über gesellschaftliche Implikationen dieser Technologien sind für den LfDI essentiell für seine Beratungsleistung.

Um im Bereich der Künstlichen Intelligenz Verantwortliche noch besser zu unterstützen, hat der Landesbeauftragte im Juli 2022 die Themenwoche „Künstliche Intelligenz und Datenschutz: Was heißt hier Selbstbestimmung?“ veranstaltet und für Interessierte auf PeerTube live gestreamt. Zahlreiche Vorträge der Referent_innen stehen auf der Videoplattform des LfDI zum Abruf bereit.

Während der KI-Woche hat der Landesbeauftragte mit führenden Expert_innen aus Wissenschaft, Wirtschaft, Verwaltung, Politik und Kultur sowie interessierten Zuschauer_innen über die sich rasant entwickelnde Technologie diskutiert und dabei mehr über die Bedürfnisse und Herausforderungen in den einzelnen Handlungsfeldern erfahren. Zugleich wurde der Austausch mit relevanten Akteur_innen der KI-Entwicklung und -Anwendung in Baden-Württemberg gefördert und Vernetzung ermöglicht. Die Erkenntnisse aus der KI-Woche hat der Landesbeauftragte in sein Fortbildungsprogramm im Bildungszentrum BIDIB aufgenommen. Verantwortliche Stellen wissen durch die KI-Woche nun, dass der LfDI auch im Bereich der Künstlichen Intelligenz Ansprechpartner ist.

Insgesamt 29 Referent_innen ermöglichten einen umfassenden Blick auf KI. Zum Einstieg in die Themenwoche ordnete die preisgekrönte Autorin Kathrin Passig den Begriff der Künstlichen Intelligenz ein – ihr Vortrag wurde mittlerweile über 7.000 Mal auf PeerTube aufgerufen.

Auch in diesem Jahr wird sich der Landesbeauftragte mit Fachleuten aus unterschiedlichen Disziplinen verknüpfen und weiter das Themenfeld der Künstlichen Intelligenz und deren Bezüge zum Datenschutz behandeln.

In Bezug auf Künstliche Intelligenz ist auch die europäische Perspektive von Bedeutung: Der Vorschlag der EU-Kommission für eine KI-Verordnung wird derzeit ausführlich diskutiert. Der LfDI befasst sich auch hier mit der Entwicklung des Rechts zur Künstlichen Intelligenz und bringt sich intensiv in die fachliche Diskussion ein.

Gemeinsames Europa

Auf europäischer Ebene hat sich die Stabstelle „Deutsche und Europäische Zusammenarbeit“ beim Landesbeauftragten – über das Thema der Regulation Künstlicher Intelligenz hinaus – in zahlreichen Themenfeldern engagiert.

Im Frühjahr 2022 nahm der Europäische Datenschutzausschuss (EDSA) die Leitlinien zu sogenannten „Dark Patterns“ bei der Oberflächengestaltung sozialer Netzwerke an. Hinter „Dark Patterns“ (oder auch: „Deceptive Design“) verbergen sich Manipulationstechniken, die auf Beeinflussung menschlichen Verhaltens ausgerichtet sind. Die Leitlinien wurden entworfen unter gemeinsamer Federführung des LfDI und der französischen Aufsichtsbehörde Commission Nationale de l‘Informatique et des Libertés (CNIL). Nach der öffentlichen Konsultation ist die endgültige Annahme der Leitlinien im ersten Quartal 2023 zu erwarten.

Die europäische Leitlinie zur praktischen Anwendung der gütlichen Einigung in grenzüberschreitenden Beschwerdefällen trifft die wichtige Aussage, dass bei allen grenzüberschreitenden Verfahren die federführende Aufsichtsbehörde einen formellen Beschlussentwurf vorlegen muss. Durch diese Vorgehensweise wird das Kooperationsverfahren gestärkt – und dies bringt die Harmonisierung des Vollzugs der in Europa für alle gleichermaßen geltenden DS-GVO voran. Der LfDI fungierte bei der Erstellung der Leitlinien als federführender Berichterstatter und hat diesen Text somit maßgeblich verfasst.

Im vergangenen Jahr hat der Landesbeauftragte Datenschutz-Icons erarbeitet, die dazu dienen, die oftmals unübersichtlichen und für Bürger_innen schwer lesbaren Datenschutzhinweise einfacher und klarer zu gestalten. Sie wurden aus einem Ideenwettbewerb heraus entwickelt, anschließend vereinheitlicht und auf die Homepage des Landesbeauftragten zum Download bereitgestellt – und dort inzwischen knapp 10.000 Mal aufgerufen. Es wird nun die Vorstellung der Icons auf europäischer Ebene erfolgen.

Das Jahr 2022 in Zahlen: Beschwerden auf Vor-Corona-Niveau,
Bildungszentrum sehr erfolgreich

Nach 4.708 Beschwerden im Jahr 2021 bewegte sich die Zahl der Beschwerden mit 3.796 im Jahr 2022 auf dem Vor-Corona-Niveau und verweist darauf, dass durch den Wegfall zahlreicher coronabedingter Einschränkungen auch verhältnismäßig weniger Beschwerden beim Landesbeauftragten eingingen.

Die Zahl der direkten Beratungsanfragen an die Dienststelle des Landesbeauftragten ist im Vergleich zum Vorjahr leicht gesunken (2022: 1.935), zugleich stiegen die Anmeldungen zu Veranstaltungen beim Bildungszentrum für den Datenschutz und die Informationsfreiheit (BIDIB) sehr deutlich. Mit über 3.200 Anmeldungen erreichte das Bildungszentrum einen Höchstwert.

Die Zahl der gemeldeten Datenpannen 2022 war mit 2.747 weiter hoch, doch geringer als im Vorjahr (2021: 3.136), in dem insbesondere wegen der Microsoft-Exchange- und der log4j-Lucke viele Datenpannen gemeldet wurden. Ransomware-Angriffe etwa auf Kommunen bleiben aber weiter bedrohlich, hier gilt es für Verantwortliche, auch im Jahr 2023 angemessene technisch-organisatorische Maßnahmen zu treffen, um solche Angriffe möglichst zu verhindern oder zumindest in ihren Auswirkungen abzumildern.

Die Zahl der durchgeführten Kontrollmaßnahmen stieg auf 33 im Jahr 2022 (2021: 8). Der Anstieg ergibt sich insbesondere durch die Klärung bei verantwortlichen Stellen in Bezug auf nicht mehr erforderlichen Datenverarbeitungen im Zuge des Wegfalls zahlreicher coronabedingter Einschränkungen.

Die Bußgeldstelle hat im Jahr 2022 wieder vermehrt Verfahren eingeleitet. Insgesamt waren 213 neue Fälle anhängig (2021: 136). Die Zahl der Neueingänge lag damit deutlich über dem der vergangenen beiden Jahre und erreichte das Vor-Corona-Niveau. Im Berichtszeitraum hat die Bußgeldstelle 19 Bußgeldbescheide erlassen, von denen 18 rechtskräftig wurden. Insgesamt setzte der Landesbeauftragte Bußgelder in einer Höhe von 145.950,00 Euro fest.

Das höchste Bußgeld mit 50.000 Euro wurde im Jahr 2022 gegenüber einem Bauträgerunternehmen erlassen. Die Bußgeldstelle beim Landesbeauftragten ermittelte hierzu, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere Hundert Grundstückseigentümer_innen ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser schrieb die so ermittelten Eigentümer_innen mit einem Kaufpreisangebot für deren Grundstücke an. Wegen rechtswidriger Datenerhebung und –weitergabe und Verstößen gegen die Informationspflichten hat die Bußgeldstelle schließlich Geldbußen gegen das Bautragerunternehmen und den Vermessungsingenieur in Höhe von 50.000 Euro respektive 5.000 Euro verhängt.

Bei der Bemessung der Bußgelder im Jahr 2022 hatte der LfDI zu berücksichtigen, dass viele Unternehmen bereits unter erheblichem wirtschaftlichen Druck wegen der Corona-Krise und der Energiekrise standen. Dies führte mit Blick auf die Angemessenheit im Durchschnitt zu geringeren Bußgeldern.

Bildungszentrum ist sehr erfolgreich

Das hauseigene Bildungszentrum BIDIB hat sich zu einer attraktiven Plattform entwickelt. Als zentraler Ort für den Austausch und die Beratung wächst das Bildungszentrum kontinuierlich. Neben zahlreichen Veranstaltungen für Bürger_innen, etwa zum souveränen Umgang mit personenbezogenen Daten im Internet mit dem renommierten Sicherheitsexperten Manuel Atug, bot das Bildungszentrum auch viele Veranstaltungen speziell für Behörden und Verantwortliche in Unternehmen an. Dieses Angebot wird stetig erweitert, so bietet eine LfDI-Referent_in im Bildungszentrum beispielsweise am 16.2.2023 speziell für Automobilzulieferer eine Fortbildung zu datenschutzrechtlichen Herausforderungen beim automatisierten Fahren an. Dieses nahe an der Praxis orientierte Vorgehen steht ebenso für die erfolgreiche Entwicklung des Bildungszentrums wie das im Jahr 2022 eigens für den Schulkontext etablierte Fortbildungsangebot „Schule digital“, welches sich an unter anderem an Lehrkräfte, Schulleitungen, Datenschutzbeauftragte, Eltern und Schülervertretungen. Über 1.200 Personen konnten durch das Angebot „Schule digital“ erreicht werden. Neben der Beratungsleistung des LfDI für das Kultusministerium in Bezug auf die digitale Bildungsplattform ist die Unterstützung der verantwortlichen Schulen und Betroffenen ein wichtiger Baustein für eine nachhaltige digitale Entwicklung.

Das Bildungszentrum wird künftig vermehrt Videos zur Verfügung stellen, sodass sich Interessiere etwa Grundlagen zu bestimmten Datenschutzthemen aneignen können, ohne zu einer festen Zeit an einer Schulung teilzunehmen. Der Zugang zu Datenschutz-Wissen beim Landesbeauftragten wird somit noch einfacher.

Datenschutz ist im Alltag von Bedeutung

Datenschutz tangiert sehr viele Lebensbereiche und ist im gesellschaftlichen Alltag von großer Bedeutung. Der Umgang mit personenbezogenen Daten ist eine Kulturtechnik und in der datengetriebenen vernetzten Welt selbstverständlich. Um die gesellschaftliche Wirkung der Digitalisierung zu diskutieren, ist die Verknüpfung mit Akteur_innen aus der Wissenschaft, Kultur und Kunst äußerst fruchtbar. Die DS-GVO verlangt die Sensibilisierung und Aufklärung von verantwortlichen Stellen, die Teilnahme an Debatten über den Datenschutz und die Beachtung der Interessen insbesondere von Kindern und Jugendlichen. Der LfDI nimmt diese wichtigen Aufgaben unter dem Label „Datenschutz als Kulturaufgabe“ erfolgreich wahr.

Die Informations- und Diskussionsangebote des Landesbeauftragten finden Gehör. Erstmals nahm der Landesbeauftragte an der Langen Nacht der Museen in Stuttgart teil – mit herausragender Resonanz. Knapp 3.000 Menschen wurden im Verlauf des langen Abends ins Haus gelockt. Auffällig viele junge Leute schauten vorbei. Aus dieser sehr erfreulichen Erfahrung heraus öffnet der Landesbeauftragte daher auch am 25.3.2023 wieder sein Haus für alle Teilnehmenden der Langen Nacht der Museen in Stuttgart.

Mit dem interaktiven Online-Tool Privat-o-Mat können Nutzer_innen ihre persönliche Einstellung zur Mediennutzung und zum Datenschutz reflektieren. Anhand von 15 Fragen aus unterschiedlichen Bereichen des digitalen Alltags können sie ihre digitalen Gewohnheiten überprüfen und herausfinden, zu welchem von fünf verschiedenen Datenschutztypen ihr persönliches Verhalten passt. Je nach Typ gibt der Privat-o-Mat Tipps, wie man die Privatsphäre im Netz selbst schützen kann. Der vom Institut für Digitale Ethik an der Hochschule der Medien in Kooperation mit dem Landesbeauftragten entwickelte „Privat-o-Mat“ wurde kürzlich für den Digital Autonomy Award 2023 der Gesellschaft für Informatik und AlgorithmWatch nominiert.

Der Internetauftritt des Landesbeauftragten und die Handreichungen des Landesbeauftragten erfreuen sich kontinuierlich großer Nachfrage, die FAQ zu Cookies und Tracking beispielsweise gehören seit ihrer Veröffentlichung im März 2022 über 30.000 Mal aufgerufen. Um dem großen Interesse an den FAQ nachzukommen, hat der Landesbeauftragte Anfang des Jahres 2023 zudem eine Schulung für Verantwortliche angeboten, die Cookie-Banner und Tracking einsetzen. Aufgrund des anhaltenden großen Interesses am Thema wird diese Veranstaltung zeitnah wiederholt.

Der LfDI-Newsletter interessiert inzwischen über 5.500 Abonnent_innen. Auch die digitale Kommunikation über den datenschutzfreundlichen Dienst Mastodon hat im Jahr 2022 starken Auftrieb erhalten. Über seinen Social-Media-Kanal auf Mastodon (https://bawü.social/@lfdi) informiert und kommuniziert der Landebeauftragte direkt mit Bürger_innen. Mittlerweile folgen ihm mehr als 6.000 Interessierte, Ende 2021 waren es noch unter 3.000.

Der Landesbeauftragte betreibt auf Mastodon einen eigenen Server. Öffentliche Stellen und Stellen mit Bezug zu öffentlichen Aufgaben können hier einen eigenen Account einrichten. Im vergangenen Jahr hat verzeichnete der Landesbeauftragte eine Vielzahl von neuen Accounts auf seinem Server – über 90 Accounts waren es im Berichtszeitraum. Neue Accounts eingerichtet haben Ministerien wie etwa das Finanz- und Sozialministerium, Städte und Gemeinden, der Beauftragte der Landesregierung gegen Antisemitismus Dr. Michael Blume, zudem viele Hochschulen. Darüber hinaus nutzen beispielsweise die Stadtbibliothek Stuttgart und die Verbraucherzentrale Baden-Württemberg den Server für eine datenschutzfreundliche direkte Kommunikation.

Ergänzend zu Mastodon betreibt der Landesbeauftragte einen Server auf PeerTube, einer Videoplattform. Geplant ist auch hier, diesen Server zu öffnen, damit baden-württembergischen Stellen hier datenschutzfreundlich ihr Videoangebot präsentieren können.

Datenschutz + Digitalisierung = nachhaltige Entwicklung

Wer personenbezogene Daten verarbeitet, muss auch die Bürgerrechte respektieren. Dies gilt insbesondere in der digitalen Welt. Allein mit Sanktionen gegenüber verantwortlichen Stellen, die die Rechte der Bürger_innen gravierend verletzen, wird aus Sicht des Landesbeauftragten die digitale Transformation nicht bürgerfreundlich gelingen. Vielmehr ist es notwendig, dass Bürger_innen darauf vertrauen können, dass bei der digitalen Transformation ihre Rechte immer von Beginn eines Prozesses an gewahrt werden. Dafür müssen Datenschutz und Digitalisierung zusammengeführt werden, damit eine nachhaltige Entwicklung für die Bürger_innen gelingen kann. Der Landesbeauftragte unterstützt die nachhaltige Entwicklung nach Kräften.

Weitere Informationen
Den 38. Tätigkeitsbericht 2022 gibt es zum Download in unserer Infothek auf https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/.

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de

Tätigkeitsbericht Datenschutz 2023

Bildungszentrum BIDIB

News & Soziale Medien

Cookies , Kommunen, Vereine, …

DS-GVO.clever

DS-GV.clever

Kontakt

Der LfDI auf Mastodon