08.07.2024

Am 08.07.2024 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW) den 29. Bericht ihrer Behörde dem Landtagspräsidenten übergeben. 

Gern wird der Datenschutz als Hindernis für Fortschritt und Digitalisierung bemüht, manchmal wird er als Vorwand genutzt, um etwas nicht tun zu müssen. Manche missachten ihn bewusst, weil sie glauben, sie könnten dies ohne Folgen tun. Wer so an das Thema rangeht, verkennt das Ziel von Datenschutz, nämlich Menschen in ihrer Privatsphäre zu schützen. Diesen Schutz benötigen wir alle. Außerdem sollen jeder wissen können, wer, was über uns weiß. Hier ist das Auskunftsrecht ein zentrales Element, auf das der Bericht mehrfach eingeht. 

Bußgelder im Berichtsjahr

Mit ihrer Arbeit trägt die Datenschutzbeauftragte dazu bei, dass gezielte Verletzungen des Datenschutzes nicht folgenlos bleiben. Sie verhängt in diesen Fällen Bußgelder, wobei das höchste im Berichtsjahr bei 10.000 Euro lag. Der EuGH hat inzwischen dafür gesorgt, dass Unternehmen Verantwortung für Datenschutzverstöße nicht mehr ohne weiteres auf einzelne Beschäftigte abschieben können. Das wird zukünftig zu mehr hohen Bußgeldern führen können.

Kontrolle durch die Behörde

Kontrolle ist ein weiterer wichtiger Baustein der Arbeit der Datenschutzbehörde. Wir haben dabei festgestellt, dass Betroffene bei Maßnahmen der Telekommunikationsüberwachung durch die Polizei und bei internationalen Datenübermittlungen nicht ausreichend über die Verarbeitung ihrer Daten informiert waren. Die Polizei hat inzwischen ihre Verfahren verbessert. Die Strategische Fahndung, die in Gebieten mit erhöhtem Strafaufkommen Fahrzeugkontrollen erlaubt, ist Grundrechte schonender durchgeführt worden.

Bedrohungen durch Cyberattacken

Beratungen der LDI NRW können zu einem besseren Verständnis für den Datenschutz führen. Was hier getan wurde, nimmt in diesem Bericht einigen Raum ein. So sind 2023 nach Schätzungen rund 58 % der deutschen Unternehmen Ziel eines Cyberangriffs geworden. Auch öffentliche Stellen waren betroffen, oft mit direkt spürbaren Auswirkungen für die Bürger.

Fließen bei einem Cyberangriff personenbezogene Daten ab oder sind anderweitig gefährdet, ist das auch ein Fall für die LDI NRW. Auch kleine und mittelständische Verantwortliche sind mit Cyberangriffen konfrontiert, und in der Regel oft damit überfordert, eigenständig und angemessen zu reagieren. Die LDI NRW hat einen Leitfaden zum Umgang mit solchen Attacken erstellt (15.1 Leitfaden bietet Hilfe beim Cyberangriff). Die Empfehlung: Mit Notfallplänen vor die Lage kommen!

Beratungsanfragen zu KI-Verfahren

Einige Beratungsanfragen gab es zu KI-Verfahren. Inzwischen hat die EU eine KI-Verordnung verabschiedet. Davon unabhängig wird aber auch weiterhin die Frage der Zulässigkeit der Nutzung von personenbezogenen Daten für eine KI-Anwendung datenschutzrechtlich bewertet werden müssen. Die LDI NRW hat in diesem Bereich Forschungsprojekte bewertet (8. Beratung zu Verfahren mit Künstlicher Intelligenz), aber auch einen digitalen Supermarkt (14.5 Bezahlen Kunden im kassenlosen Supermarkt mit ihren Daten). Auch Schulen wollen die Möglichkeiten von KI nutzen (9.1 Einsatz von intelligenten tutoriellen Systemen in Schulen). Mehr denn je ist bei der massenhaften Datennutzung durch KI von Bedeutung, dass Datenschutz bei der Verfahrensgestaltung von Anfang an mitgedacht (Data Protection by Design) und zum Beispiel durch Techniken der Anonymisierung oder Pseudonymisierung gewährleistet wird. Nur so kann der Schutz der Privatsphäre und technischer Fortschritt gleichermaßen gelingen.

Bei der Menge der stetig steigenden Datenverarbeitung ist eine flächendeckende Aufsicht unmöglich. Wir müssen auf die Selbstverantwortung derjenigen setzen, die Daten verarbeiten. In einem wichtigen Bereich können sie sich nun zertifizieren und so die Einhaltung des Datenschutzes überprüfen lassen. Die LDI NRW hat die Befugnis für die erste deutsche Zertifizierungsstelle erteilt (13.2 Erste Zertifizierungsstelle in Deutschland akkreditiert). Auftragsverarbeiter, die ihre Datenverarbeitungsdienste Unternehmen zur Verfügung stellen, können ihre Verarbeitungsprozesse jetzt gemäß DS-GVO von dieser Zertifizierungsstelle prüfen lassen und so belegen, dass sie datenschutzkonform sind.

Internationale Zusammenarbeit der Datenschutzbehörden

Schließlich wird im Bericht deutlich, wie intensiv die Zusammenarbeit in Europa und Deutschland ist, um das Datenschutzrecht einheitlich anzuwenden. Es sei nicht – wie viele die Öffentlichkeit glauben machen wollen – die föderale Datenschutzaufsicht, die zu scheinbar divergierenden Ergebnissen führe. Schwierig sind vielmehr die unzähligen und alle Lebensbereiche umfassenden unterschiedlichen Datenverarbeitungen, die nicht alle gleich sind und sich ständig wandeln. Eine teils geforderte zentrale Datenschutzaufsicht wird hier noch eher an Grenzen stoßen und ist nicht nah bei den Bürgern und Unternehmen.  

Im Jahr 2023 haben uns insgesamt rund 11.050 schriftliche Eingaben erreicht, einschließlich Meldungen nach Art. 33 DS-GVO (Datenpannen). 111 Bußgeldverfahren wurden eingeleitet und 65 Bußgeldbescheide erlassen. Insgesamt wurden Bußgelder in einer Höhe von 64.650 Euro vereinnahmt. 

Der Bericht ist abrufbar unter www.ldi.nrw.de/bericht2024.

[Quelle: PM LDI NRW v. 08.07.2024]