Dresden. Höchststand bei gemeldeten Datenpannen: Sachsens Datenschutz- und Transparenzbeauftragter Juliane Hundert wurden im vergangenen Jahr etwa 950 Datenschutzverletzungen gemeldet – so viele wie noch nie. Das geht aus dem aktuellen Datenschutzbericht hervor. Im Jahr 2022 waren es etwa 150 Meldungen weniger.

Auch die Zahl der Beschwerden ist gestiegen: 2023 ging die Datenschutzbeauftragte 1.160 Kontrollanfragen von Privatpersonen und Unternehmen nach. Neben dem "Dauerbrenner Videoüberwachung" haben auch die Einführung der Rauchmelderpflicht und Kennzeichenerfassungssysteme bei Parkplätzen datenschutzrechtliche Fragen aufgeworfen.

So viele Datenpannen wie noch nie

Zu den häufigsten Datenpannen in Sachsen gehörten der Fehlversand oder der Verlust von Post, offene E-Mail-Verteiler, Diebstahl von Datenträgern und auch das Abgreifen von persönlichen Daten durch Cyberkriminalität. "Tatsächlich sind die Fälle sehr, sehr bunt", sagte Hundert.

Ein Klassiker sei, dass ein Verein oder eine Schule eine E-Mail an einen größeren Empfängerkreis versendet und dabei die Adressen der Empfänger für alle sichtbar sind. In Krankenhäusern oder Arztpraxen komme es außerdem häufig vor, dass Befunde vertauscht und an die falsche Person versendet werden, sagte Hundert.

Verantwortliche sind in diesen Fällen verpflichtet, Verletzungen des Schutzes personenbezogener Daten möglichst binnen 72 Stunden nach Bekanntwerden der Aufsichtsbehörde zu melden.

Facebook-Streit vor Gericht

Der Streit um die Facebook-Seite der Staatskanzlei liegt vor dem Verwaltungsgericht in Dresden. Der Klage der Staatskanzlei gegen die drohende Abschaltung ihrer Facebook-Seite hat sich nun auch der Facebook-Mutterkonzern Meta angeschlossen. "Das war unerwartet", sagte Hundert. Sie halte diese Klage wegen fehlender Klagebefugnis bereits für unzulässig.

Hundert hatte im Juli einen Bescheid zur Abschaltung der "Fanpage" erlassen, da es bei deren Betrieb durch die Verarbeitung von personenbezogenen Daten der Nutzer zu einem Verstoß gegen die Datenschutz-Grundverordnung kommt. Eine Auffassung, die auch alle anderen Datenschutzbeauftragten der Länder sowie der Bundesbeauftragte für Datenschutz vertreten. Es gibt ähnliche Verfahren gegen das Bundespresseamt, auch Berlin und Brandenburg haben Gerichtsverfahren eingeleitet.

Datenschutz bei ChatGPT nicht gewährleistet

Der Einsatz von Künstlicher Intelligenz (KI) wird an vielen Stellen diskutiert – auch in der öffentlichen Verwaltung. KI-Anwendungen verarbeiten Daten, wenn es sich dabei um persönliche Daten handelt, muss der Datenschutz eingehalten werden. "Bei einigen Anwendungen bestehen berechtigte Zweifel, dass diese Anforderungen derzeit erfüllt werden", sagte Hundert.

Sachsens Datenschutzbehörde beteiligt sich daher an einem Verfahren verschiedener europäischer Datenschutzaufsichten gegen ChatGPT von Open AI. "Natürlich bieten neue Technologien Chancen, aber wir müssen auch auf die Risiken für die Persönlichkeitsrechte der Bürgerinnen und Bürger schauen und diese Risiken minimieren."

Schwärzung von Unterlagen für Gemeinderat

Sachsens Datenschutzbeauftragte geht derzeit gegen einen Bürgermeister vor, der sich weigerte, den Mitgliedern seines Gemeinderates ungeschwärzte Unterlagen vorzulegen. Der Bürgermeister hatte Firmennamen und -adressen in einem kommunalen Vergabeverfahren schwärzen lassen, damit die Bieterauswahl anonym sei und die Gemeinderäte objektiv entscheiden können.

Ratsmitgliedern müssen nach der Gemeindeordnung aber alle Unterlagen zur Verfügung gestellt werden, sagte Hundert. "Dazu gehören selbstverständlich auch die Namen der Firmen, die sich auf eine öffentliche Ausschreibung beworben haben." Bisher habe sich der Bürgermeister nicht einsichtig gezeigt. Sachsens Datenschutzbeauftragte beabsichtigt daher, eine förmliche Verwarnung auszusprechen.

Handy-Beschlagnahmung bei "Tag-X"-Demo

Aus dem Schwerpunktbereich Polizei und Justiz hob Hundert die Beschlagnahmung von Mobiltelefonen bei einer Demonstration zum "Tag X" mit Angriffen auf Polizeibeamte und Sachbeschädigungen im Juni in Leipzig hervor. Die Polizei kesselte mehr als 1.300 Personen ein, darunter über 100 Jugendliche und zwei strafunmündige Kinder. 383 Mobiltelefone wurden beschlagnahmt.

Bei der Datenschutzbeauftragten gingen daraufhin Anfragen von Eltern betroffener Jugendlicher ein. Die Mobiltelefone wurden inzwischen zurückgegeben, jedoch dauert die Verarbeitung der gesicherten Daten weiter an. "Der große Bestand an Daten, die bei der Polizei gespeichert sind, das ist ein Problem", sagte Hundert. Sie habe die Strafverfolgungsbehörden darauf hingewiesen, dass der Anteil verfahrensrelevanter Daten gering sein dürfte. Die Auswertung müsse nun zeitnah erfolgen, damit die großen Mengen verfahrensirrelevanter, jedoch höchst persönlicher Daten gelöscht werden können, forderte Hundert.

Bußgelder in Höhe von 33.000 Euro verhängt

Im vergangenen Jahr sind bei der Datenschutzbehörde 134 neue Ordnungswidrigkeitsanzeigen eingegangen – deutlich mehr als 2022. 84 Fälle konnten abgeschlossen werden. Dabei wurden in 23 Verfahren Bußgelder in Höhe von etwa 33.000 Euro verhängt. Die Mehrzahl der Ordnungswidrigkeitsverfahren bezog sich auf unzulässige Videoaufnahmen und Polizeibeamte, die im Verdacht standen, unbefugt dienstlich erlangte personenbezogene Daten verarbeitet zu haben. (mit dpa)