Die saarländische Landesbeauftragte für Datenschutz und Informationsfreiheit Monika Grethel überreichte heute der Landtagspräsidentin Heike Winzent und der Ministerpräsidentin Anke Rehlinger den 32. Tätigkeitsbericht für den Bereich Datenschutz für das Berichtsjahr 2023. Im anschließenden Pressegespräch wurde der Tätigkeitsbericht der Öffentlichkeit vorgestellt.
Zahlen und Fakten
Insgesamt 1.493 Anliegen im Bereich des Datenschutzes wurden im Berichtszeitraum an das Unabhängige Datenschutzzentrum Saarland adressiert. Während die Anzahl an Beschwerden betroffener Personen und Beratungsanfragen in etwa auf dem Niveau des vorherigen Berichtsjahres geblieben ist (Bericht 1.1 und 1.2), erreichten die Meldungen von Datenschutzverletzungen mit 727 Verfahrenseingängen (2022: 429) einen neuen Höchstwert (1.3). Neben 11 Verwarnungen und 10 Anordnungen wurden 9 Bußgeldbescheide erlassen (1.4). Die Summe der verhängten Geldbußen stieg auf 208.375,- Euro.
Digitalisierung der Verwaltung
Die Digitalisierung von Verwaltungsabläufen kann für Bürgerinnen und Bürger erhebliche Erleichterungen mit sich bringen, aber unter Berücksichtigung der Art und des Umfangs der verarbeiteten personenbezogenen Daten auch mit datenschutzrechtlichen Risiken verbunden sein. Um diese Risiken zu adressieren und insgesamt ein hohes Datenschutzniveau bei Digitalisierungsprojekten zu gewährleisten, wurde im Berichtszeitraum ein Schwerpunkt auf die Beratung öffentlicher Stellen bei der Gestaltung von Verwaltungsprozessen gelegt. So konnte bei der Frage nach der automatisierten Prüfung der Anspruchsberechtigung nach dem Studierenden-Energiepreispauschalengesetz in Zusammenarbeit mit der Landesregierung eine datenschutzkonforme Lösung gefunden werden, die schließlich auch bundesweit Berücksichtigung fand (3.2). Der Einbau und Betrieb von Funkwasserzählern bringt eine Vielzahl von Fragen mit sich und führte auch im Berichtszeitraum zu Beschwerden betroffener Personen. Solange der Einsatz solcher Geräte und die datenschutzrechtlichen Bedingungen einer funkbasierten Verbrauchserfassung nicht gesetzlich geregelt sind, bedarf es für die Freischaltung entsprechender Funktionalitäten einer wirksamen Einwilligung der Kundinnen und Kunden (3.5).
Innere Sicherheit
Turnusmäßige Datenschutzprüfungen von Informationssystemen der saarländischen Polizei und des Verfassungsschutzes gehören zum aufsichtsbehördlichen Pflichtprogramm. Über diese Pflichtprüfungen hinausgehende Kontrollen von Informationssystemen und Datenbanken der Sicherheitsbehörden, sind angesichts der Prüfdichte und der gegebenen Ressourcen unserer Behörde allenfalls bedingt gewährleistet (4.1).
Begleitung von Rechtsetzungsverfahren
Die frühzeitige Beteiligung des Datenschutzzentrums bei Rechtsetzungsverfahren ermöglicht eine vorausschauende Berücksichtigung datenschutzrechtlicher Maßgaben bei zukünftig stattfindenden Datenverarbeitungsprozessen. Durch eine im Berichtsjahr erfolgte Einbindung unserer Behörde in dem Gesetzgebungsverfahren zu einem Saarländischen Kinderschutzgesetz bestand Gelegenheit, zahlreiche datenschutzrechtliche Aspekte in der Verfasstheit und Zusammenarbeit der neu geschaffenen Institutionen Kinderschutzbeauftragter, Netzwerk Kinderschutz und Ombudsstelle für Opfer sexualisierter Gewalt in Schulen anzusprechen. Dadurch konnte in dem sensiblen Bereich des Kinderschutzes eine effektive und doch datensparsame Ausgestaltung möglicher Datenflüsse zwischen den Akteuren gewährleistet werden (5.1).
Gesundheit und Soziales
Die unzureichende Dokumentation von Einwilligungen von Patientinnen und Patienten in die Datenweitergabe durch Gesundheitseinrichtungen an externe Abrechnungsstellen führte zu einer Vielzahl an Meldungen von Datenschutzverletzungen an unsere Behörde (6.1). Die Zurverfügungstellung von Kopien von Behandlungsunterlagen im Rahmen der Auskunftserteilung nach Art. 15 Datenschutz-Grundverordnung ist wiederholt Gegenstand von Beschwerden. Wenn auch der Europäische Gerichtshof kürzlich die Rechte der um Auskunft ersuchenden Patientinnen und Patienten gestärkt hat, bleiben im Einzelfall nach wie vor Auslegungsfragen (6.3).
Schule und Bildung
In Zusammenhang mit der schulischen Kommunikationsinfrastruktur Online-Schule-Saar erreichten das Datenschutzzentrum im Berichtszeitraum verschiedene Beschwerden hinsichtlich geltend gemachter Auskunfts- und Löschansprüche von betroffenen Personen. Mit Blick auf die Digitalisierung des Schulalltags wurde dabei deutlich, dass eine Novellierung der landesspezifischen Regelungen zur schulischen Datenverarbeitung dringend geboten ist (7.2).
Beschäftigtendatenschutz und Wirtschaft
Die Zulässigkeit der Nutzung von E-Mails am Arbeitsplatz war auch im zurückliegenden Berichtzeitraum ein häufiger Gegenstand von Beratungsanfragen und Beschwerden (8.1). Der Umgang mit einem Cybersicherheitsangriff auf einen Dienstleister und die Operationalisierung von Prozessen zur Meldung von Datenschutzverletzungen lag im Fokus einer aufsichtsbehördlichen Untersuchung von Unternehmen im Bereich Wohnungswirtschaft (8.4).
Videoüberwachung
Das Gros der an das Datenschutzzentrum gerichteten Beschwerden im Berichtsjahr hatte die verschiedensten Ausprägungen von Videoüberwachungsmaßnahmen zum Inhalt. Um der großen Zahl an Beschwerden zu Kameraeinsätzen durch Privatpersonen ressourcengerecht begegnen zu können, hat sich unsere Behörde eine Verwaltungsvorschrift zum Umgang mit diesbezüglichen Beschwerden gegeben (9.1). Dennoch führte die fehlende Mitwirkung der für den Kamerabetrieb Verantwortlichen in zahlreichen Fällen zu langwierigen Prüfverfahren (9.2). Dass der Einsatz von künstlicher Intelligenz (KI) kontinuierlich Einzug in alltägliche Lebensbereiche hält und dabei neue datenschutzrechtliche Fragen aufwirft, zeigt die KI-gestützte Kameraüberwachung zur Detektion von Gefahrensituationen in einem Schwimmbad (10.5).
Internet und Werbung
Auch für Eventfotos gibt es ein Verfallsdatum. Die auf einem Social Media-Kanal erfolgte Veröffentlichung von Bildaufnahmen von Club- und Diskothekenbesuchern, die ursprünglich in den 2000er Jahren für eine Webcommunity angefertigt worden sind, stößt trotz allem Verständnis für Nostalgie an datenschutzrechtliche Grenzen (11.1). E-Mail-gestützte Bestandskundenwerbung ist ein häufiger Gegenstand von an unsere Behörde adressierten Beschwerden. In der überwiegenden Zahl der diesbezüglich im Berichtszeitraum untersuchten Fälle wurde ein datenschutzrechtlicher Verstoß festgestellt (11.3).
Die dargestellten und viele weitere Themen sind in dem Tätigkeitsbericht abgebildet, welcher unter https://datenschutz.saarland.de/ abgerufen werden kann.
Pressekontakt
Telefon: 0681 94781-24
E-Mail: medien@datenschutz.saarland.de