Logo LDI NRW

29. Bericht

Bettina Gayk, Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW), hat den 29. Bericht ihrer Behörde dem Landtagspräsidenten André Kuper übergeben. 

„Datenschutz ist in aller Munde, aber nicht alle verstehen Datenschutz richtig“, so Bettina Gayk anlässlich der Übergabe des 29. Berichts. Gern wird der Datenschutz als Hindernis für Fortschritt und Digitalisierung bemüht, manchmal wird er als Vorwand genutzt, um etwas nicht tun zu müssen, und manche missachten ihn bewusst, weil sie glauben, sie könnten dies ohne Folgen tun. Wer so an das Thema rangeht, verkennt das Ziel von Datenschutz, nämlich Menschen in ihrer Privatsphäre zu schützen. Diesen Schutz benötigen wir alle. „Informationen über uns sollen nicht gezielt und ungerechtfertigt erhoben oder zu unserem Nachteil eingesetzt werden können. Außerdem sollen wir wissen können, wer, was über uns weiß“, sagt Bettina Gayk. Hier ist das Auskunftsrecht ein zentrales Element auf das der Bericht mehrfach eingeht. 

Mit ihrer Arbeit trägt die Datenschutzbeauftragte dazu bei, dass gezielte Verletzungen des Datenschutzes nicht folgenlos bleiben. Sie verhängt in diesen Fällen Bußgelder. Das höchste im Berichtsjahr lag bei 10.000 Euro. Der Europäische Gerichtshof hat inzwischen dafür gesorgt, dass Unternehmen Verantwortung für Datenschutzverstöße nicht mehr ohne weiteres auf einzelne Beschäftigte abschieben können. Das wird zukünftig zu mehr hohen Bußgeldern führen können, kündigt Gayk an. 

Kontrolle ist ein weiterer wichtiger Baustein der Arbeit der Datenschutzbehörde. „Hier haben wir zum Beispiel der Polizei auf die Finger geschaut“, sagt Gayk. Wir haben dabei festgestellt, dass Betroffene bei Maßnahmen der Telekommunikationsüberwachung und bei internationalen Datenübermittlungen nicht ausreichend über die Verarbeitung ihrer Daten informiert waren. Die Polizei hat inzwischen ihre Verfahren verbessert. Die Strategische Fahndung, die in Gebieten mit erhöhtem Strafaufkommen Fahrzeugkontrollen erlaubt, ist Grundrechte schonender durchgeführt worden. „Das Verfahren an sich überzeugt mich aber nach wie vor nicht“, sagt die Datenschutzbeauftragte, „die Kontrolle erfasst sehr viele Bürger*innen und kann potentiell alle treffen, hat aber bisher wenig Erfolg gezeigt.“

Beratungen der LDI NRW, können zu einem besseren Verständnis für den Datenschutz führen. Was hier getan wurde, nimmt in diesem Bericht einigen Raum ein. So sind 2023 nach Schätzungen rund 58 Prozent der deutschen Unternehmen Ziel eines Cyberangriffs geworden. Auch öffentliche Stellen waren betroffen, oft mit direkt spürbaren Auswirkungen für die Bürger*innen. Fließen bei einem Cyberangriff personenbezogene Daten ab oder sind anderweitig gefährdet, ist das auch ein Fall für die LDI NRW. Auch kleine und mittelständische Verantwortliche sind mit Cyberangriffen konfrontiert, und in der Regel oft damit überfordert, eigenständig und angemessen zu reagieren. Die LDI NRW hat einen Leitfaden zum Umgang mit solchen Attacken erstellt (15.1 Leitfaden bietet Hilfe beim Cyberangriff). Die Empfehlung: Mit Notfallplänen vor die Lage kommen!

Einige Beratungsanfragen gab es zu KI-Verfahren. Inzwischen hat die EU eine KI-Verordnung verabschiedet. Davon unabhängig wird aber auch weiterhin die Frage der Zulässigkeit der Nutzung von personenbezogenen Daten für eine KI-Anwendung datenschutzrechtlich bewertet werden müssen. Die LDI NRW hat in diesem Bereich Forschungsprojekte bewertet (8. Beratung zu Verfahren mit Künstlicher Intelligenz), aber auch einen digitalen Supermarkt (14.5 Bezahlen Kund*innen im kassenlosen Supermarkt mit ihren Daten). Auch Schulen wollen die Möglichkeiten von KI nutzen (9.1 Einsatz von intelligenten tutoriellen Systemen in Schulen). Mehr denn je ist bei der massenhaften Datennutzung durch KI von Bedeutung, dass Datenschutz bei der Verfahrensgestaltung von Anfang an mitgedacht (Data Protection by Design) und zum Beispiel durch Techniken der Anonymisierung oder Pseudonymisierung gewährleistet wird. Nur so kann der Schutz der Privatsphäre und technischer Fortschritt gleichermaßen gelingen.

Bei der Menge der stetig steigenden Datenverarbeitung ist eine flächendeckende Aufsicht unmöglich. Wir müssen auf die Selbstverantwortung derjenigen setzen, die Daten verarbeiten. In einem wichtigen Bereich können sie sich nun zertifizieren und so die Einhaltung des Datenschutzes überprüfen lassen. Die LDI NRW hat die Befugnis für die erste deutsche Zertifizierungsstelle erteilt (13.2 Erste Zertifizierungsstelle in Deutschland akkreditiert). Auftragsverarbeiter, die ihre Datenverarbeitungsdienste Unternehmen zur Verfügung stellen, können ihre Verarbeitungsprozesse jetzt gemäß DS-GVO von dieser Zertifizierungsstelle prüfen lassen und so belegen, dass sie datenschutzkonform sind. „Meine Behörde hat hier gute Arbeit geleistet und eine Vorreiterrolle eingenommen“, ist sich Gayk sicher.

Schließlich wird im Bericht deutlich, wie intensiv die Zusammenarbeit in Europa und Deutschland ist, um das Datenschutzrecht einheitlich anzuwenden. Es sei nicht – wie viele die Öffentlichkeit glauben machen wollen – die föderale Datenschutzaufsicht, die zu scheinbar divergierenden Ergebnissen führe. Schwierig sind vielmehr die unzähligen und alle Lebensbereiche umfassenden unterschiedlichen Datenverarbeitungen, die nicht alle gleich sind und sich ständig wandeln. Eine teils geforderte zentrale Datenschutzaufsicht wird hier noch eher an Grenzen stoßen und ist nicht nah bei den Bürger*innen und Unternehmen.  

Im Jahr 2023 haben uns insgesamt rund 11.050 schriftliche Eingaben erreicht, einschließlich Meldungen nach Art. 33 DS-GVO (Datenpannen). 111 Bußgeldverfahren wurden eingeleitet und 65 Bußgeldbescheide erlassen. Insgesamt wurden Bußgelder in einer Höhe von 64.650 Euro vereinnahmt. 

Der Bericht ist abrufbar unter www.ldi.nrw.de/bericht2024.