Vor zwei Tagen hat die Landesbeauftragte für Datenschutz in Brandenburg (LDA), Frau Dagmar Hartge, den jährlichen Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2023 veröffentlicht. Der Bericht bietet einen umfassenden Einblick in die Datenschutzaktivitäten des vergangenen Jahres. Im Folgenden soll ein zusammenfassender Überblick über einige der spannendsten und kuriosesten Themeninhalte des Berichts gegeben werden.
Der Inhalt im Überblick
KI – Brandenburg muss sich rüsten
Neben der Umsetzung des Onlinezugangsgesetzes zur Digitalisierung der Verwaltung bildete natürlich auch die LDA das allerorts brandheiße Thema Künstliche Intelligenz und die 2023 noch in den Startlöchern stehende KI-Verordnung einen besonderen Schwerpunkt, mit welchem sich die Aufsichtsbehörde intensiv beschäftigte. Durch Befragungen von Unternehmen und kommunalen Spitzenverbänden wurde das Bewusstsein für einen datenschutzkonformen Einsatz von KI geschärft. Zudem konnten datenschutzrechtliche Aspekte in die Diskussion um eine Landesstrategie Künstliche Intelligenz eingebracht werden.
Darüber hinaus forderten europäische und deutsche Datenschutzaufsichtsbehörden unter brandenburgischer Beteiligung das Unternehmen OpenAI, dem Hersteller von ChatGPT, dazu auf, konkrete Fragen zu Datenschutz und Datentransparenz zu beantworten. Dabei wurden Herausforderungen im Umgang mit personenbezogenen Daten und der Transparenz der Datenverarbeitung aufgezeigt.
„Künstliche Intelligenz bietet große Chancen, stellt Unternehmen und Verwaltungen aber auch vor enorme Herausforderungen. Wer sie einsetzt, muss die Risiken der Datenverarbeitung einschätzen können und darüber informieren, wie personenbezogene Daten verarbeitet werden. Das wiederum setzt voraus, dass die eingesetzten Produkte ihrerseits transparent und datenschutzgerecht gestaltet sind.“
Unterricht auch künstlich intelligent
Ein besonderes Augenmerk legte die LDA hierbei auf die Verarbeitung von Daten Minderjähriger im Rahmen von KI-Anwendungen im Unterreicht. Text- und bildgenerierende KI-Anwendungen haben im letzten Jahr einen Hype ausgelöst. Dies hat das Thema Künstliche Intelligenz für viele im Alltag greifbar gemacht hat. Die LDA ist der Ansicht, dass Medienkompetenz im Umgang mit derartigen Anwendungen der Künstlichen Intelligenz von essenzieller Bedeutung ist. Insbesondere Schülerinnen und Schüler sollen in der Lage sein, diese Anwendungen kritisch zu reflektieren.
Im schulischen Kontext führte das Thema Künstliche Intelligenz (KI) zu Verunsicherungen bei Schulleitungen und Lehrkräften. Das Ministerium für Bildung, Jugend und Sport hatte daher einen „Handlungsleitfaden zur Nutzung von textgenerierenden KI-Anwendungen an Schulen im Land Brandenburg“ entwickelt. Dieser Leitfaden biete nach Einschätzung der LDA zwar einen guten Rahmen für den Einsatz von KI im Unterricht und berücksichtige auch rechtliche Aspekte. Er behandele aber letztlich die sehr komplexe Frage der Umsetzung datenschutzrechtlicher Anforderungen beim Einsatz von KI-Anwendungen in Schulen jedoch nur im Ansatz.
Insgesamt habe das Ministerium damit einen wichtigen Schritt in die richtige Richtung gemacht. Dennoch bestehe weiterer Handlungsbedarf, um Schulen weiterhin datenschutzrechtlich zu unterstützen und einen differenzierten Einsatz von KI-Anwendungen zu ermöglichen. Aus diesem Grund habe sich die Aufsichtsbehörde mit den Verantwortlichen im Ministerium in Verbindung gesetzt und vereinbart, Fortschreibungen und Ergänzungen des Handlungsleitfadens für Schulen künftig gemeinsam zu erarbeiten. Schließlich sei es wichtig, die junge Generation für die Herausforderungen und Risiken von KI zu sensibilisieren und ihnen die Kompetenz zur kritischen Auseinandersetzung mit dieser Technologie zu vermitteln, ohne ihre Integration in den Unterricht zu verbieten.
Facebook-Fanpages als Dauerbrenner
Der Streit um die Vereinbarkeit des Betriebs von Facebook-Fanpages durch öffentliche Stellen mit dem Datenschutzrecht ist ein fortlaufendes Thema. Denn wie ein Blick in die Tätigkeitsberichte der vergangenen Jahre zeigt, beschäftigt sich die LDA hiermit nun schon seit mehreren Jahren. In enger Abstimmung mit anderen Aufsichtsbehörden führte die Landesbeauftragte in einem Musterverfahren eine Anhörung der Staatskanzlei des Landes Brandenburg durch. Ziel war eine Unterlassungsverfügung gegen die Landesregierung zu erwirken, um so ein Abschalten der Fanpages gerichtlich zu erzwingen.
Durch die zwischenzeitlich ergangene Entscheidung des EuGH zur Prüfungskompetenz des Kartellamtes sahen sich die Datenschutzaufsichtsbehörden in ihren Argumenten darin bestätigt, dass ohne wirksame Einwilligung der Besucher keine ausreichende Rechtsgrundlage für die Datenverarbeitung auf den Fanpages bestehe. Das Urteil habe jedenfalls für Meta im Ergebnis den Versuch erschwert, weiterhin Betroffenenrechte zu umgehen, insbesondere durch individuelle Verträge.
Als Reaktion bot Meta für Facebook und Instagram ein werbefreies Bezahlabonnement („pay or okay“) an und änderte seine Cookie-Richtlinie. Aufgrund dieser Änderungen setzte die LDA das Verfahren aus, um die neuen Richtlinien zu analysieren. Es sei aber nach Ansicht der Aufsichtsbehörde derzeit eher unwahrscheinlich, dass sich daraus letztlich eine grundlegend andere Beurteilung des Betriebs von Fanpages ergeben wird:
„Facebook-Fanpages weiter auf dem Prüfstand“
Datenschutzverstöße: Maßnahmen und Sanktionen
Im direkten Vergleich zum Vorjahr war die Bußgelddichte und -höhe, die auf das Konto der Aufsichtsbehörde Brandenburg ging, im Jahr 2023 sehr viel moderater. Die Bußgeldstelle der LDA verhängte in zehn Fällen ein Bußgeld wegen festgestellter datenschutzrechtlicher Verstöße. Die Gesamtsumme der festgesetzten Bußgelder betrug knapp 13.900,00 Euro. Zum Vergleich: Im Jahr 2022 waren es drei Bußgelder mehr und eine Gesamtsumme von insgesamt 123.000,00 Euro.
Die Anzahl der Datenschutzbeschwerden scheint sich offensichtlich im Jahr 2023 mit 1.336 Fällen auf ein vergleichsweise hohes Maß einreguliert zu haben.
Umfangreiche Videoüberwachung: Beobachtung in vielen Bereichen
Die Zahl der Beschwerden im Zusammenhang mit der Videoüberwachung ist hingegen gestiegen: von 264 Beschwerden im Jahr 2022 auf 365 im Jahr 2023. Diese Zunahme der Beschwerden erfordert laut LDA intensive und personalintensive Überprüfungen der einzelnen Kameras, die die Kapazitäten der Aufsichtsbehörde stark beanspruchen.
Die zunehmende Überwachung mittels Videokameras konnte die Aufsichtsbehörde dabei in drei Bereichen feststellen:
- Feiern unter Beobachtung:
Die anlässlich des Potsdamer Stadtfestes geplante Livebild-Beobachtung des Besucherstroms mittels insgesamt zwölf Kameras stellte sich nach Prüfung der Behörde als datenschutzrechtlich unzulässig dar. Die Gewährleistung der Sicherheit durch eine Besucherstromsteuerung und die Minimierung potenzieller Sicherheitsrisiken stellten dem Grunde nach zwar berechtigte Interessen der Veranstalterin dar. Allerdings war die geplante Videoüberwachung zur Erreichung der angegebenen Zwecke nicht erforderlich, da mildere Maßnahmen zur Verfügung (z.B. an neuralgischen Punkten zusätzliche Sicherheitskräfte, mobile Absperrgitter oder sog. Wellenbrecher) standen, mit denen weniger intensiv in die Rechte der Gäste (darunter auch Kinder) und des Standpersonals eingegriffen worden wäre (gesteigerter Überwachungsdruck durch fehlende Entziehungsmöglichkeiten). - Ferien unter Beobachtung:
Die Aufsichtsbehörde ereilte offenbar gleich in mehreren Fällen Beschwerden hinsichtlich einer Videoüberwachung in Brandenburger Ferienwohnanlagen. Hierbei wurden gemeinschaftlich genutzte Orte (u.a. Außenschwimmbecken oder Außenterrassen) erfasst. In einem Fall kassierte der Verantwortliche sogar von der Behörde eine Verwarnung. Er hatten anscheinend gleich ein ganzes „Potpourri an Gründen“ – von der Wahrnehmung des Hausrechts über den Eigentumsschutz bis hin zur Vorbeugung gegen Lärmbelästigung – genannt. Eine Erforderlichkeit für den Kameraeinsatz bestand jedoch nicht. Das Interesse der Feriengäste, sich unbeobachtet – und beispielsweise am Pool auch leicht bekleidet – zu entspannen, überwog zudem das Interesse des Vermieters an der Videoüberwachung. - Arbeiten unter Beobachtung:
Auch eine 24/7-Videoüberwachung in einem Betriebsgebäude und auf einem Außengelände veranlasste die Aufsichtsbehörde zum Tätigwerden. Sie stellte nach einer Überprüfung fest, dass dies während der Arbeitszeiten v.a. wegen der Erfassung einzelner Arbeitsplätze, des Pausenraums und des Zugangs zu Toiletten gepaart mit der hohen Wahrscheinlichkeit der Identifizierung einzelner Mitarbeiter datenschutzrechtlich unzulässig war.
Kompetenz-Komplex einer Behörde
Wirklich kurios wurde es für die LDA in einem anderen Fall, auf den sie durch eine umfangreiche Berichterstattung der Medien aufmerksam gemacht wurde. Wer gedacht hätte, in Potsdam sei es ein Leichtes, eine Parkerleichterung für Menschen mit Schwerbehinderung zu beantragen, wurde 2023 eines Besseren belehrt.
Denn diese Anträge nahm offenbar die städtische Fahrerlaubnisbehörde zum Anlass, um gleich auch die Fahreignung der Antragstellerinnen und Antragsteller mittels medizinier Gutachten zu überprüfen. Dabei übersah sie großzügig, dass sie überhaupt nicht für solche Anträge zuständig war; das war nämlich die untere Straßenverkehrsbehörde. Somit fehlte bereits die Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten.
Noch absurder wird es, wenn man die Begründung für Durchführung der medizinischen Gutachten hört. Die Fahrerlaubnisbehörde zweifelte pauschal an der Fahreignung der Antragssteller, lediglich weil die Antragsteller einen Schwerbehindertenausweis besaßen.
Aber damit nicht genug: Bei dem eigentlich harmlosen Umtausch des alten Führerscheins gegen den neuen EU-Kartenführerschein wurde ebenfalls von der Fahrerlaubnisbehörde hart durchgegriffen. Obwohl es sich eigentlich hierbei um einen rein formalen Vorgang handelte, endeten mehrere Verfahren im Entzug der Fahrerlaubnis oder im freiwilligen Verzicht.
Da die datenschutzrechtlichen Verstöße vor dem Hintergrund des besonderen Schutzbedarfs der Gesundheitsdaten schwerwiegend waren, sprach die LDA gegenüber der Fahrerlaubnisbehörde eine mehr als wohlverdiente Verwarnung aus.
„Ich erwarte, dass die Landeshauptstadt Potsdam die richtigen Konsequenzen aus der unzulässigen und diskriminierenden Verarbeitung von Gesundheitsdaten zieht und das Verfahren grundlegend ändert.“
Verletzliche Landeshauptstadt
Potsdam musste noch mehr Kritik von der LDA einstecken. Einen erneuten Angriff auf die IT-Infrastruktur der Landeshauptstadt Ende 2022 hatte die LDA zu einer Überprüfung veranlasst, inwieweit die Stadtverwaltung aus dem vorangegangenen Vorfall die richtigen Konsequenzen gezogen hatte.
Das Ergebnis war anscheinend ernüchternd: Weder gültiges Datenschutz- und Informationssicherheitskonzept noch Verzeichnis der Verarbeitungstätigkeiten, Fristenversäumnisses und ungeklärte Verantwortlichkeiten. Datenschutz geht anders.
„An den andauernden Versäumnissen gibt es nichts zu beschönigen: Die IT-Sicherheitsvorfälle in der Potsdamer Stadtverwaltung verdeutlichen, wie dringend sie ein systematisches IT-Sicherheitsmanagement benötigt. Diesen Herausforderungen muss sich die Landeshauptstadt endlich stellen. Dass sowohl die IT-Sicherheit als auch der Datenschutz wichtige Führungsaufgaben sind, darf keine bloße Floskel bleiben.“
Aufgrund dieser Versäumnisse prüft die Aufsichtsbehörde derzeit, von einer Abhilfebefugnis gemäß Art. 58 Absatz 2 DSGVO Gebrauch zu machen.
Rosen-Emojis für Anzeigeerstatterin
Man mag es kaum glauben: Was in romantischen Filmen häufig zu einem Happy End führt, kann im echten Leben auch mal ein Bußgeld nach sich ziehen. Einen Polizeibediensteten verdonnerte die Aufsichtsbehörde zur Zahlung eine Geldbuße im oberen dreistelligen Bereich.
Anstelle mit einer Anzeigenerstatterin sich wie besprochen über die private Mobilfunknummer des Polizisten Beweismaterial via Messenger-Dienst auszutauschen, wanderten vier Rosen-Emojis virtuell über den Bildschirm gepaart mit der Bitte, sich an seinem freien Tag mit ihm zu treffen. Statt dem ersehnten Date rief dies dann die Aufsichtsbehörde auf den Plan.
… und vieles, vieles mehr
Wer jetzt wegen der entzogenen Fahrerlaubnis im Zug auf dem Weg in eine überwachungsfreie Ferienunterkunft sitzt und keine Lust mehr hat, selbst KI generierte Bilder auf der Facebook Fanpage hochzuladen oder Rosen-Emojis zu versenden, der mag vielleicht auch noch etwas weiter im Tätigkeitsbericht der LDA Brandenburg 2023 schmökern.
Unter anderem gibt es viel weiteres Spannendes und Interessantes zu einem Datenleck bei einem Autohersteller in Brandenburg, einem fiesen Ransomware-Angriff auf ein Unternehmen, dem Verlust von Gesundheitsdaten beim Transport (Rucksack mit Pflegenachweisen oder Patientenakte in öffentlichen Verkehrsmitteln liegen gelassen) oder zu der Frage nach der datenschutzkonformen Durchsetzung der sogenannte Istanbul-Konvention des Europarats mittels des Gesetzes zur Verhinderung von Gewalt gegen Frauen und häuslicher Gewalt (Stichwort: elektronische Fußfessel).