Die bremische Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer, geht anlässlich der Vorstellung ihres zweiten Tätigkeitsberichts nach der Datenschutzgrundverordnung (DSGVO) zunächst auf die Corona-Lage ein: "Bei uns melden sich jetzt Menschen mit neuen Fragen, zum Beispiel zur Verarbeitung von Gesundheitsdaten im Beschäftigungsverhältnis. Die wichtigste Antwort auf alle Fragen ist die, dass auch in einer Ausnahmesituation nicht alles erlaubt ist. Die entscheidenden Schlüsselbegriffe sind wie sonst auch Erforderlichkeit, Verhältnismäßigkeit und gesetzliche Grundlage. Verarbeitungen sind also rechtmäßig, wenn sie auf gesetzlicher Grundlage erfolgen, die mildesten Mittel sind, um uns alle und insbesondere die Risikogruppen vor Erkrankung zu schützen, und zusätzlich nicht so übertrieben sind, wie es wäre, den Baum zu fällen, um das Obst zu ernten. Im Beschäftigungsverhältnis wird es deshalb in der Regel rechtmäßig sein, Informationen über festgestellte Infektionen, den Kontakt mit Menschen, bei denen Infektionen festgestellt wurden, und die Tatsache zu erheben, dass sich die Beschäftigten in einem Risikogebiet aufgehalten haben. Arbeitgeberinnen und Arbeitgeber müssen diese Informationen vertraulich behandeln, dürfen sie ausschließlich für die genannten Zwecke verwenden und müssen sie spätestens am Ende der Pandemie löschen. Den anderen Beschäftigten mitzuteilen, um wen es sich handelt, ist nur dann rechtmäßig, wenn die Kolleginnen und Kollegen die Identität der Betreffenden kennen müssen, um ihre Familien und sich selbst angemessen schützen zu können. Die Betreffenden müssen von der bevorstehenden Identitätspreisgabe informiert werden und sie muss in einer Weise geschehen, die die Würde der Betreffenden schützt."
In Bezug auf die DSGVO sagt die Landesbeauftragte für Datenschutz und Informationsfreiheit: "Eine Europäische Verordnung auf Höchstgeschwindigkeit zu bringen, braucht länger als die 22 Monate, die die Datenschutzgrundverordnung jetzt gilt. Der Tanker DSGVO hat aber auch im Land Bremen Fahrt aufgenommen und dümpelt schon lange nicht mehr an der Pier."
Jede beziehungsweise jeder Eintausendeinhundertundvierundachtzigste (1.184.) im Land Bremen hat sich im Jahr 2019 bei der Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) darüber beschwert, dass Unternehmen, Verwaltungen oder andere Stellen personenbezogene Daten in einer rechtswidrigen Weise verarbeitet hätten. Damit hat sich seit Geltung der DSGVO die Zahl der Beschwerden Betroffener mehr als verdoppelt. Seit dem ersten Geltungstag der DSGVO hat die Landesbeauftragte für Datenschutz und Informationsfreiheit bereits in 489 der durchgeführten Prüfverfahren Datenschutzverstöße festgestellt. Gegenwärtig laufen noch 439 datenschutzrechtliche Prüfverfahren und könnten ebenfalls zu dem Ergebnis kommen, dass der untersuchte Sachverhalt einen Verstoß gegen die DSGVO darstellt. Monatlich kommen durchschnittlich weitere 6,9 Meldungen von Datenschutzverletzungen und 47,3 Beschwerden hinzu.
Die Werkzeuge, die die DSGVO den datenschutzrechtlichen Aufsichtsbehörden zur Verfügung gestellt hat, greifen. Die bremische Landesbeauftragte konnte mit ihrer Hilfe beispielsweise die Schließung des von einer Partei rechtswidrig eingerichteten Beschwerdeportals über das Verhalten von Lehrkräften anordnen.
Sofern datenschutzrechtliche Aufsichtsbehörden Datenschutzverstöße feststellen, steht die Verhängung von Bußgeldern im Raum. Viele europäische Aufsichtsbehörden haben entsprechende Verfahren bereits eingeleitet. Im Land Bremen konnte dies im Jahr 2019 aus Kapazitätsgründen noch nicht geschehen. Die Landesbeauftragte ist aber zuversichtlich, "dass der bremische Haushaltsgesetzgeber dafür sorgen wird, dass der bremische Datenschutz vom hinterher fahrenden Beiboot zum Schlepper des DSGVO-Tankers wird."
Wie in den Vorjahren nimmt der Beschäftigtendatenschutz im zweiten DSGVO-Tätigkeitsbericht einen hohen Stellenwert ein. Nach den Bereichen Telemedien und Gesundheit/Soziales bezogen sich die meisten Beschwerden auf diesen Bereich. Dabei ging es um Fälle wie Ortungssysteme in Firmenwagen, elektronische Zugangssysteme, Aufzeichnungen in Callcentern und Videoüberwachungen. Anlässlich der Befragung über den Einsatz der cloudbasierten Anwendung Microsoft Office 365, die die Landesbeauftragte für Datenschutz und Informationsfreiheit an die 33 Firmen im Land Bremen mit den meisten Beschäftigten richtete, stellte sich heraus, dass vier Firmen die Module Graph oder Delve nutzen, obwohl die Landesbeauftragte für Datenschutz und Informationsfreiheit in der Befragung darauf hingewiesen hatte, dass diese Module aufgrund der umfassenden Auswertungsmöglichkeiten des Verhaltens der Beschäftigten besonders problematisch sind. Insgesamt zeigt sich, dass die zunehmende Digitalisierung des Arbeitslebens eine riesige Herausforderung für den Schutz der Beschäftigtendaten ist.
Aber auch in anderen Bereichen wird deutlich, dass gesellschaftliche Missstände häufig sehr eng mit dem Fehlen des Schutzes personenbezogener Daten verknüpft sind. Nach dem entsetzlichen Mord am Kasseler Regierungspräsidenten Walter Lübcke im eigenen Garten beschwerten sich vier Antragstellende darüber, dass die bremische Meldebehörde die Erteilung von Auskunftssperren verweigert hatte, obwohl die Antragstellenden in Organisationen arbeiten, die sich öffentlich gegen gewaltbereite extremistische Gruppen positionieren.
Ein eher kurioses Zusammenwirken zwischen der vermeintlichen Vertrauenswürdigkeit der analogen Handschrift mit digitalen Techniken zeigte sich in einem Fall, auf den sich 34 Beschwerden bezogen. Auf Werbebriefen sahen sich die Adressatinnen und Adressaten im Adressfeld mit ihrer eigenen Handschrift konfrontiert, die von gescannten Teilnahmekarten an Gewinnspielen kopiert worden war.
Im 14. Tätigkeitsbericht über die Informationsfreiheit im Land Bremen erneuert die Landesbeauftragte für Datenschutz und Informationsfreiheit ihre an die Verwaltung gerichtete Forderung nach Transparenz für eingesetzte Algorithmen und Künstliche Intelligenz.
Kontakt/Rückfragen:
Dr. Imke Sommer, Telefon 0421 361-2010