Einmal im Jahr wird in Düsseldorf Datenschutz-Bilanz gezogen, dann stellt die NRW-Datenschutzbeauftragte Bettina Gayk ihren Jahresbericht vor. Am Montag zeigte die Präsentation für das Jahr 2023, wie viel Datenschutz in unserem Alltag steckt - oder stecken sollte.
Microsoft entwickelt sich zum Problem
Viele kennen Microsoft 365, auch Microsoft Office 365 genannt, aus ihrem Arbeitsleben. Es ist ein online-basiertes Software-Bündel des US-amerikanischen Technikkonzerns mit den wichtigsten Büroanwendungen. Bettina Gayk sieht hier "ein großes Problem" beim Datenschutz und fordert "mehr Bewegung bei Microsoft".
Gayk kritisiert, dass Microsoft mehr personenbezogene Daten speichert, als für die Produktentwicklung nötig sei. "Wenn Microsoft sich nicht bewegt, ist das nicht datenschutzkonform." Darum rät die Behörde von der Nutzung in Schulen oder der öffentlichen Verwaltung dringend ab, aber auch Unternehmen sollten bei der Verwendung auf den Datenschutz ihrer Mitarbeitenden achten.
Mehr Schutz für Patientendaten gefordert
Gayk betonte, dass es bei Gesundheitsdaten um sehr sensible Daten gehe, bei denen der Datenschutz zentral sei - auch um das Vertrauen der Patienten in eine sichere Verarbeitung zu gewährleisten. Mit der elektronischen Patientenakte erhoffe man sich Vorteile für Behandlung und Forschung, aber damit gehen "zwangsläufig neue Risiken für die Rechte der Betroffenen einher", heißt es im Bericht. Im letzten Jahr, so Gayk, habe ihre Behörde die Erfahrung gemacht: "Da geht Schnelligkeit oft vor Gründlichkeit." Sie fordert eine effektive Kontrolle der Daten durch die Patientinnen und Patienten.
Völlig konform mit dem Datenschutz sei jedoch die Verarbeitung von Gesundheitsdaten für die Vorsorge, etwa gegen Brustkrebs. Dazu erhalte ihre Behörde immer wieder Eingaben von Betroffenen. Ebenfalls korrekt sei, dass generell Patientendaten gespeichert werden. Diese könnten nicht auf Verlangen gelöscht werden. Es gebe Aufbewahrungsfristen und "die Behandlungen müssen nachvollziehbar sein, auch im Interesse der Patienten".
Scoring im Kreditverfahren
Immer wieder in der Kritik steht das Bonitäts-Scoring, also die Einschätzung über die Kreditwürdigkeit von Verbraucherinnen und Verbrauchern. Dabei wird ein Wahrscheinlichkeitswert errechnet, "der eine Vorhersage über das Verhalten einer Person ausdrückt", so erklärt es der Bericht. Gayk fordert hier deutlich mehr Transparenz ein, damit Betroffene die Einschätzung eines Unternehmens nachvollziehen können.
KI in Schule, Supermarkt und Flughafen
Die Beratungsleistungen der "Landesbeauftragten für Datenschutz und Informationsfreiheit" wurden im letzten Jahr besonders häufig zu den unterschiedlichsten Einsätzen von künstlicher Intelligenz (KI) nachgefragt. So zum Beispiel beim kassenlosen Supermarkt von Rewe oder beim Einsatz von KI bei der Videoüberwachung im öffentlichen Raum. An Flughäfen gebe es beispielsweise KI-Auswertungen zu Fluggastbewegungen.
Aber auch in der Schule stellten sich Fragen nach den Grenzen für die Anwendung von KI. So werde die künstliche Intelligenz beispielsweise in der Grundschule bei der Leseförderung eingesetzt. "Darf die KI Emotionen erkennen?" Das sei eine Frage, die nicht nur für die Schulen, sondern auch für Unternehmen gelte. "Im Beschäftigten-Bereich ist das äußerst grenzwertig", sagte Gayk. Ihre Behörde prüfe aktuell einen Fall.
Polizei - mangelnde Dokumentation
"Spürbare Nachteile für Betroffene" könne es geben, wenn die Polizei den Datenschutz vernachlässigt. Die NRW-Datenschutzbehörde überprüft regelmäßig, wie der Austausch der Daten auch auf internationaler Ebene ist. Die gute Nachricht: Die Behörde konnte "keine gravierenden Rechtsverstöße" feststellen.
Gayk kritisierte jedoch, dass es "fehlerhafte Dokumentationen" gegeben habe. Betroffene seien nicht ausreichend informiert worden. Sie hätten aber nach Abschluss eines Verfahrens das Recht zu erfahren, dass ihre Daten verarbeitet wurden.
Das "berechtigte Interesse"
Fünf Buchstaben stehen für den Datenschutz in Europa: DSGVO, die Datenschutz-Grundverordnung. 2016 in Kraft getreten, beschäftigt ihre Umsetzung heute alle Datenschutzbehörden. Bei Frage der richtigen Anwendung sieht Bettina Gayk als "Dreh- und Angelpunkt" die Formulierung des "berechtigten Interesses". Es werfe "ganz viele Fragen auf", die zentrale sei: Wessen berechtigtes Interesse ist gemeint? Das der Betroffenen, deren Daten erhoben und gespeichert werden oder das der Unternehmen? Für Gayk ein "großes, weites Feld im Datenschutzrecht".
Immerhin, das Auskunftsrecht hat der Europäische Gerichtshof präzisiert. Konkret ging es um die Frage, wer die Wahl hat, welche Daten auf Verlangen mitgeteilt werden - die Betroffenen oder die Unternehmen? Der EuGH stellte klar, es sind die Betroffenen. Grenzen gebe es jedoch bei Protokolldateien, erklärte Gayk. Hier bestehe kein Anspruch auf den kompletten Datensatz, sondern nur auf die Auskunft, wer darauf zugegriffen hat.
Rekordbußgeld für uneinsichtiges Unternehmen
Die NRW-Datenschutzbehörde kann auch Bußgelder verhängen. Im letzten Jahr, so berichtet es Bettina Gayk, habe ihre Behörde ein Rekordbußgeld von 10.000 Euro verhängt. Gegen ein Unternehmen, das im Bereich Corona-Tests aktiv gewesen sei und mit weiteren Geschäftsfeldern fortbestehe.
Man habe zunächst kleinere Summen verhängt, aber da das Unternehmen die Einsicht vermissen lasse, zu der hohen Summe gegriffen. Gayk vermutet, dass auch in diesem Jahr wohl wieder ein Bußgeld fällig werde.
Service bei Cyberangriffen
2023 habe es über 2.000 "Datenpannen-Meldungen" gegeben. Dahinter stecken meist Cyberangriffe, von denen nach einer Schätzung der Behörde mehr als die Hälfte der Unternehmen in NRW betroffen sind. Bei einer Meldung könne die NRW-Datenschutzbehörde nur schauen, ob alle Betroffenen informiert sind und ihnen Hilfe angeboten wurde. Dafür habe ihre Behörde Hinweise für Unternehmen und Betroffene zusammengestellt.
Ratschlag für Landesregierung
Die NRW-Datenschutzbehörde gibt, wenn sie Defizite beim Datenschutz entdeckt, auch immer wieder konkrete Handlungsempfehlungen an die Landesregierung. Zum Beispiel, um die automatisierte Bearbeitung von Anträgen rechtssicher zu machen. Die erfolgte nämlich, so Gayk, bei den Corona-Hilfen ohne gesetzliche Grundlage. Da jedoch auch bei Fluthilfen oder ähnlichen Fällen automatisierte Verfahren eingesetzt werden könnten, sei es durchaus sinnvoll, ein entsprechendes Gesetz zu erlassen.
Neue Struktur des Jahresberichts
Und auch das sei zum Ende noch erwähnt: Der Jahresbericht 2023 hat eine andere Struktur als die vorherigen. Er sei nicht mehr so fallbezogen, erklärte die NRW-Datenschutzbeauftragte. Hintergrund sei, dass durch die DS-GVO auch eine Vereinheitlichung der Datenschutzberichte gefordert. In diesem Abstimmungsprozess sei man nun mit den anderen Länderbehörden in Deutschland.
Unverändert sei jedoch die "gleichbleibend hohe Zahl der Eingaben" seit der Einführung der DS-GVO 2016. Sie lag im letzten Jahr bei rund 11.000.
Über dieses Thema berichten wir auch im WDR-Fernsehen und Hörfunk, unter anderem im WDR-5-Landesmagazin Westblick ab 17.04 Uhr.