Im Abgeordnetenhaus von Berlin hat heute Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), ihren Jahresbericht für das Jahr 2023 der Öffentlichkeit vorgestellt. Der Bericht gibt auf 174 Seiten detaillierte Einblicke in die Arbeit der Aufsichtsbehörde auf lokaler, nationaler und europäischer Ebene.
Meike Kamp: „Im Jahr 2023 haben mein Team und ich das Land Berlin umfangreich zur datenschutzkonformen Digitalisierung in Verwaltung und Schulen beraten. Mit Angeboten wie unserem neuen Standardprozess zum Datenschutz bei der öffentlichen Digitalisierung möchte ich die Berliner Behörden dabei unterstützen, den Datenschutz künftig von Anfang an zu berücksichtigen. Die digitale Transformation und der Einsatz von Künstlicher Intelligenz werden unsere Arbeit als Aufsicht für den Datenschutz und die Informationsfreiheit mehr und mehr bestimmen und beeinflussen. In vielen Fällen sind KI-Anwendungen und die Verarbeitung personenbezogener Daten untrennbar miteinander verknüpft. Die Datenschutzbehörden bieten dafür eine Aufsicht aus einer Hand und sind bereit, neue Aufsichtsaufgaben nach der KI-Verordnung zu übernehmen.“
Standardprozess für Datenschutz bei öffentlicher Digitalisierung
Um den Datenschutz bei der Verwaltungsdigitalisierung zu verbessern, hat die Datenschutzbeauftragte einen Standardprozess für die datenschutzkonforme Umsetzung von Digitalisierungsprojekten durch Berliner Behörden entwickelt. Der Standardprozess wurde gemeinsam mit dem IT-Dienstleistungszentrum Berlin erarbeitet und wird in dieser Woche veröffentlicht. Die Verwaltung wird dadurch befähigt, die Vorgaben des Datenschutzes eigenständig umzusetzen und ihren rechtlichen Verpflichtungen nachzukommen. Nachträgliche Anpassungen, die zu Verzögerungen bei der Umsetzung führen, sollen damit der Vergangenheit angehören.
Meike Kamp: „Mit dem Standardprozess verankern wir den Datenschutz direkt im Bauplan der Digitalisierung. Durch seine Anwendung können Berliner Behörden Datenschutzrisiken bei der Digitalisierung frühzeitig erkennen und minimieren.“
Löschmoratorien: 7,5 Millionen Polizei-Vorgänge auf Halde gelegt
Zur Unterstützung parlamentarischer Untersuchungsausschüsse dürfen Behörden Daten über die gesetzliche Löschfrist hinaus speichern, wenn die Daten für die Erfüllung der Aufgaben des Ausschusses erforderlich sind. Eine Prüfung im Jahr 2023 ergab: Die Polizei Berlin bewahrt derzeit etwa 7,5 Millionen Vorgänge aus dem polizeilichen IT-System POLIKS vor, ohne deren Auswahl nachvollziehbar begründen zu können.
Meike Kamp: „Für die Arbeit von Untersuchungsausschüssen ist eine längere Speicherung von eigentlich löschreifen Daten oftmals unerlässlich. Gleichwohl ist die Vorhaltung der Daten nicht voraussetzungslos. Sie steht unter dem Vorbehalt, dass die Daten für die Aufgabenerfüllung des Untersuchungsausschusses erforderlich sein müssen. Polizei und Parlament stehen in der Pflicht, für eine Einhaltung der Datenschutzvorgaben zu sorgen: Die Polizei muss nachvollziehbar darlegen können, warum sie bestimmte Daten nicht löscht. Und das anfragende Parlament muss diesen Prozess kontrollieren und unterstützen.“
Bußgelder in Höhe von 549.410 Euro
Im Jahr 2023 verhängte die Datenschutzbeauftragte Bußgelder in einer Gesamthöhe von 549.410 Euro gegen private Stellen im Land Berlin. Über drei zentrale Fälle informiert der Jahresbericht:
Bußgeld gegen eine Bank wegen mangelnder Transparenz: Gegen eine Bank aus Berlin wurde ein Bußgeld in Höhe von 300.000 Euro verhängt, weil es seinen Transparenzpflichten im Zusammenhang mit einer automatisierten Einzelentscheidung nicht nachgekommen war. Das Unternehmen hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen.
Bußgeld nach Sammlung besonders schützenswerter Daten: Ein Unternehmen aus dem Kulturbereich wurde mit einem Bußgeld von 215.000 Euro belegt. Es hatte unzulässigerweise Informationen über den Gesundheitszustand von Beschäftigten sowie deren Interesse an der Gründung eines Betriebsrates dokumentiert. Mit den Informationen sollten Kündigungen von Beschäftigten vorbereitet werden, die sich in Probezeit befanden.
Bußgeld wegen verdeckter Videoüberwachung am Arbeitsplatz: In einem anderen Fall hatte ein Unternehmen drei Praktikant:innen an ihrem Arbeitsplatz durch in Steckdosen versteckte Videokameras überwacht, ohne dass die Betroffenen Kenntnis davon hatten. Gegen das Unternehmen wurde ein Bußgeld in Höhe von 4.000 Euro verhängt, weil die Videoüberwachung nicht erforderlich und unverhältnismäßig war.
Urteil des Europäischen Gerichtshofs
Für überregionale Aufmerksamkeit sorgte 2023 das Urteil des Europäischen Gerichtshof (EuGH) zum Bußgeldbescheid der Datenschutzbeauftragten gegen die Deutsche Wohnen SE in Höhe von rund 14,5 Millionen Euro aus dem Jahr 2019. Der EuGH stellte fest, dass datenschutzrechtliche Bußgelder direkt gegen Unternehmen festgesetzt werden können, ohne dass eine Pflichtverletzung einer Leitungsperson nachgewiesen werden muss. Damit bestätigte der EuGH die Sanktionspraxis der deutschen Datenschutzaufsichtsbehörden und stärkt so die effektive Durchsetzung von Sanktionen gegenüber Unternehmen. Das Verfahren liegt mittlerweile wieder beim Landgericht Berlin.
Zusammenarbeit in Europa: Bußgeld gegen TikTok
Auf europäischer Ebene war die BlnBDI im vergangenen Jahr maßgeblich an einem Bußgeldentscheid der irischen Datenschutzaufsicht gegen das Unternehmen TikTok Technology Limited (TikTok) beteiligt. Gegen das Unternehmen wurde ein Bußgeld in Höhe von 345 Millionen Euro verhängt, weil es die Rechte von Minderjährigen verletzt hat. TikTok hatte u. a. Inhalte von minderjährigen Nutzer:innen standardmäßig für die Öffentlichkeit freigeschaltet und darüber nicht ausreichend informiert. Gemeinsam mit anderen deutschen Datenschutzbehörden erreichte die BlnBDI im Europäischen Datenschutzausschuss, dass die irische Datenschutzaufsicht ihre Entscheidung um einen weiteren Verstoß erweitern musste: Durch sogenannte Dark Patterns – irreführende Designs in der App – wurden minderjährige Nutzer:innen davon abgehalten, datenschutzfreundliche Einstellungen vorzunehmen.
Meike Kamp: „Das Bußgeld gegen TikTok zeigt, dass die europäischen Datenschutzbehörden auch gegenüber großen Online-Plattformen maßgebliche Verbesserungen beim Datenschutz durchsetzen können. Es freut mich, dass sich meine Kolleg:innen im Europäischen Datenschutzausschuss in diesem Verfahren unserer Rechtsauffassung angeschlossen haben.“
Informationsfreiheit: Ein Drittel mehr Beschwerden
Kamp ist auch die Beauftragte für die Informationsfreiheit im Land Berlin und unterstützt Personen, die ihr Recht auf Akteneinsicht gegenüber öffentlichen Stellen wahrnehmen möchten. Im Jahr 2023 befasste sie sich u. a. mit einem Antrag auf Einsicht in die Beschlüsse des Rats der Bürgermeister und des Senats sowie dem Akteneinsichtsrecht des Allgemeinen Studierendenausschuss (AStA) der Freien Universität Berlin. In diesen und vielen weiteren Fällen wurde die Auskunft nach Beteiligung der Informationsfreiheitsbeauftragten gewährt. Insgesamt stieg die Anzahl der Beschwerden zur Informationsfreiheit um rund ein Drittel auf 111 Fälle.
Meike Kamp: „Ich setze mich weiter für ein Berliner Transparenzgesetz und für ein Umdenken in der Berliner Verwaltung ein: Transparenz sollte nicht als Bürde, sondern als eigenes Interesse und öffentliche Aufgabe begriffen werden. Die Digitalisierung kann diesen Prozess unterstützen, wenn das Konzept der „Informationsfreiheit by design“ von Anfang an mitgedacht und umgesetzt wird.“
Datenschutz-Statistik: Anstieg bei Beratungen
Die Zahl der schriftlichen Beratungsanfragen von Privatpersonen hat im Jahr 2023 stark zugenommen. In vielen Fällen suchen die Personen Unterstützung bei der Auskunft und Löschung von Daten oder benötigen eine Beratung zu einem konkreten Datenschutzverstoß. Insgesamt wandten sich Betroffene in 5.537 Fällen mit einer Beschwerde oder einer Beratungsanfrage an die BlnBDI. Auf einem hohen Niveau bleibt die Anzahl der Datenpannen: Insgesamt meldeten private und öffentliche Stellen 1.129 Datenpannen. Die Behörde hat 139 Verwarnungen und zwei Anordnungen erlassen.