In diesem Jahr hat die DSGVO ihren fünften Geburtstag gefeiert. Allerdings zeigt uns der hier vorliegende Tätigkeitsbericht Datenschutz der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zum 31. Dezember 2022auch einmal mehr, dass das Gesetz nicht automatisch gelebte Praxis ist, und wie viel noch zu tun ist, um das Grundrecht auf informationelle Selbstbestimmung auch wirklich in allen Bereichen zu schützen. Denn gerade dort, wo Menschen staatlichem Handeln ausgesetzt sind, muss besonders genau hingeschaut werden.

Sei es in der Gemeinschaftsunterkunft mit ausufernder Videoüberwachung privater Lebensbereiche, oder Behördenvertreter*innen, die mit ihren privaten Handys Ausweisdokumente abfotografieren wollen. Solche und weitere Vorfälle zeigen immer wieder, wie wichtig es ist, dass es eine starke unabhängige Stelle gibt, die die Einhaltung der rechtlichen Rahmenbedingungen überwacht und unterstützt.

Es sticht besonders hervor, dass die erste Überschrift des Tätigkeitsberichts Datenschutz „Betrieb von Facebook-Fanpages durch öffentliche Stellen“ lautet – ein wiederkehrender Punkt innerhalb der Debatten der vergangenen Jahre und auf den die Landesdatenschutzbeauftragte bereits mehrmals hinwies. Die Rechtslage ist durch das Urteil des EuGH eindeutig, und wird nicht nur durch die brandenburgischen Datenschutzbeauftragten vertreten, sondern einhellig von allen Beauftragten des Bundes und der Länder. Der Betrieb dieser Fanpages, insbesondere durch öffentliche Stellen, ist nicht mit EU-Recht zu vereinbaren. Umso verwunderlicher ist es, dass in der Stellungnahme der Landesregierung keine Anmerkungen zu diesen Ausführungen im Bericht der LDA zu finden sind und auch in der Ausschussberatung eine Stellungnahme dazu abgelehnt wurde.

Die Aufsichtsbehörden haben hier die Aufgabe, dem Recht zur Durchsetzung zu verhelfen. Mir fällt es durchaus schwer, einer Unternehmerin zu erklären, warum sie bei Verstößen gegen die DSGVO mit teils erheblichen Geldbußen rechnen muss, wenn gleichzeitig Behörden über Jahre hinweg eine so eindeutige Rechtslage ignorieren. Der Staat hat auch in diesem Bereich eine Vorbildfunktion zu erfüllen und es ist zu begrüßen, dass die LDA hier ihren Auftrag ernst nimmt, auch wenn es im Bereich der Öffentlichkeitsarbeit unbequem ist.

Ähnlich schwierig ist die Lage beim Einsatz von Microsoft Office 365 und anderer Software, die entgegen Europäischer Gesetze detaillierte Informationen an die Hersteller übermitteln. Trotz aller Bemühungen der Aufsichtsbehörden bestehen hier weiterhin rechtliche Probleme beim Einsatz der Software und es bleibt der Appell an staatliche Stellen, die nun einmal eine erhebliche Macht als Großkunden haben, darauf hinzuwirken, dass ein datenschutzkonformer Betrieb gewährleistet wird. Dabei darf nicht vergessen werden, dass es kein frommer politischer Wunsch, sondern eine rechtliche Pflicht ist. Dementsprechend muss sich dies auch in den Richtlinien zur Beschaffung von Software widerspiegeln. Bei kritischer Infrastruktur muss die Reduzierung der Abhängigkeit von einzelnen Unternehmen absolute Priorität sein, ganz unabhängig von der Datenschutzproblematik und dem Fall Microsoft. 

Das Ziel der digitalen Souveränität, welches im Koalitionsvertrag vereinbart wurde, ist durch die Entwicklung in der Welt nur noch deutlicher geworden. Die Gefahr, die vom staatlichen oder staatlich unterstütztem Hacking ausgeht, ist groß. Die Schäden, die dabei entstehen können, sind schon lange nicht mehr nur theoretisch. Neben dem finanziellen Schaden, kommt auch immer noch der Vertrauensverlust in den Staat hinzu. Zugleich muss ich darauf hinweisen, dass die Millionenschäden, die wir bisher in Deutschland durch Hackerangriffe gesehen haben, in aller Regel „nur“ die Folgen ganz normaler Kriminalität und noch weit von den leider durchaus realistischen Worst-Case-Szenarien entfernt sind, die passieren könnten, wenn wir nicht schnell einen radikalen Kurswechsel hinbekommen, um den sicheren Betrieb unserer digitalen Infrastrukturen wirklich zu priorisieren. Wir brauchen einheitliche Mindeststandards für den IT-Betrieb in den Kommunen und gleichzeitig die Unterstützung von Bund und Ländern, damit diese sehr zeitnah umgesetzt werden können.

An dieser Stelle appelliere ich auch an den Innenminister, die Augen nicht vor den Zuständen zu verschließen und bei der Umsetzung der Europäischen NIS2-Richtlinie die Kommunen und sensible Bildungseinrichtungen nicht außen vor zu lassen.

Ein weiterer Punkt, der mir große Sorgen bereitet ist, dass staatliche Stellen teilweise den Datenschutz und die Informationssicherheit zugunsten einer scheinbar schnellen und weniger aufwendigen Lösung vernachlässigen. Das erhoffte Ziel, dass Projekte mit diesem Vorgehen schneller umgesetzt werden können, ist ein Trugschluss. Denn wenn der Datenschutz und die Sicherheit nicht von Anfang an mit bedacht werden, müssen die damit einhergehenden Fehler und Versäumnisse über Jahre hinweg korrigiert werden. Damit wird nicht nur die Sicherheit des Standortes Deutschland, sondern vor allem das Vertrauen der Bürgerinnen und Bürger in unseren Staat gefährdet.

Dass ein schnelles Umsetzen von Projekten möglich ist, ohne dabei den Datenschutz und die Sicherheit zu vernachlässigen, zeigt sich immer wieder dort, wo die Behörden frühzeitig die Beratung der LDA annehmen und anwenden. Ein Beispiel wäre die Zusammenarbeit zwischen der LDA und der Polizei, die von beiden Seiten aus positiv hervorgehoben wird. Dem Bericht nach seien die Entwicklungen bei der Polizei im Bereich des Datenschutzes sehr positiv zu bewerten.

Die zunehmende Bereitschaft zur Zusammenarbeit lässt mich hoffen, dass der Datenschutz weiter an Bedeutung gewinnt, und irgendwann zur gelebten Praxis in allen Bereichen wird. Auch wenn es bis dahin noch ein langer Weg ist.

Abschließend möchte ich Frau Hartge, unserer Landesdatenschutzbeauftragten, und ihren Team danken, dass sie ganz genau hinsehen, prüfen und unterstützen, aber auch den Finger in die Wunde legen.

Hintergrund:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) hat nach Artikel 59 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) sowie § 37 des Brandenburgischen Polizei-, Justizvollzugs- und Maßregelvollzugsdatenschutzgesetzes die Pflicht, einen Jahresbericht über ihre Tätigkeit zu erstellen. Dieser Bericht muss dem Landtag sowie der Landesregierung vorgelegt werden. Der Tätigkeitsbericht Datenschutz der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zum 31. Dezember 2022 liegt dem Landtag seit dem 18. April 2023 als Drucksache 7/7555 vor und bezieht sich auf den Zeitraum vom 1. Januar bis zum 31. Dezember 2022 ab. Die Stellungnahme der Landesregierung zum Tätigkeitsbericht der LDA liegt dem Landtag seit dem 11. Oktober 2023 als Drucksache 7/8590 vor.
(Quelle: https://www.parlamentsdokumentation.brandenburg.de/parladoku/w7/drs/ab_8800/8888.pdf)

Der Tätigkeitsbericht Datenschutz der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zum 31. Dezember 2022 wurde im Dezemberplenum zur Kenntnis genommen.

Urteil des EuGH:

•  https://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:62016CJ0210
• https://curia.europa.eu/juris/documents.jsf?nat=or&mat=or&pcs=Oor&jur=C%2CT%2CF&num=C-210%252F16&for=&jge=&dates=&language=de&pro=&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&oqp=&td=%3BALL&avg=&lgrec=de&page=1&lg=&cid=4638390
• Pressemitteilung des Bundesverwaltungsgerichts: https://www.bverwg.de/pm/2019/62

Meine mündliche Anfrage zur NIS2-Richtlinie:

• Seite 2f., https://www.parlamentsdokumentation.brandenburg.de/starweb/LBB/ELVIS/parladoku/w7/drs/ab_8700/8754.pdf