Eine auf die Gewinnung, das Teilen und Nutzen von Daten orientierte Gesellschaft "kann nicht datensparsam sein", schreibt der Hamburgische Datenschutzbeauftragte Thomas Fuchs in seinem am Dienstag präsentierten Tätigkeitsbericht für 2022. Prinzipien zum Vermeiden und Minimieren der Verarbeitung persönlicher Informationen, die unter anderem in der Datenschutz-Grundverordnung (DSGVO) verankert sind, werden "nicht mehr zu halten sein". Dieser Wandel werde "den Datenschutz vor Herausforderungen stellen", hebt Fuchs hervor. Denn da sind immer noch das individuelle Recht auf informationelle Selbstbestimmung und die Souveränität der Bürger über ihre Daten, die nicht infrage gestellt werden dürfen. Klar sei andererseits, dass die politisch gewollte "massenhafte Erhebung" nicht auf Basis von Einzel-Zustimmungen funktioniere. Sonst drohten "Scheineinwilligungsmodelle", wie sie täglich bei den vielfach als nervig empfundenen Cookie-Bannern zu sehen seien.

Der Trend gehe so zu rechtlich ausgestalteten Opt-out-Ansätzen, prophezeit der Kontrolleur. Ferner werde Transparenz noch stärker in den Mittelpunkt des Datenschutzes rücken, damit Betroffene informiert ihre Rechte wahrnehmen können. Für die Datenschutzbehörden werde sich der Schwerpunkt von einzelnen Beschwerdeverfahren zur Kontrolle von Nutzungsszenarien verlagern. Die Aufsicht werde damit "zwangsläufig 'konstruktiver' im Sinne des Wortes", müsse dafür aber umso früher einbezogen werden, um die Schutzgarantien von Anfang an mitdenken zu können.

Als Beispiel für den ausgemachten "Paradigmenwechsel in der Datennutzung" nannte Fuchs bei der Vorstellung des Berichts das Gesundheitswesen. Der vom Bundesgesundheitsministerium im Rahmen einer Digitalisierungsstrategie vorgelegte Entwurf für ein Gesundheitsdatennutzungsgesetz zeige dies, mit dem die sensiblen Patientendaten stärker für die Forschung erschlossen werden sollen. Einschlägige Systematiken funktionierten hier nicht gut, "wenn sie einwilligungsbezogen sind", erläuterte der Kontrolleur. Bei der elektronischen Patientenakte (ePA) sei erkennbar geworden, dass diese Modelle "nicht massentauglich" seien. Das nun geplante Opt-out mache die Sache aber nicht einfacher, sondern "in Wahrheit viel komplizierter". Daher sei es wichtig, die Datenschutzbehörden direkt einzubinden.

Weniger Beschwerden eingegangen

Die Zahl der 2022 bei dem unabhängigen Landesamt eingegangen Beschwerden sank – wie in anderen Bundesländern – gegenüber dem Vorjahr um rund ein Viertel auf 2160. Dies hänge wohl auch mit dem Abflauen von Datenschutzthemen rund um die Coronapandemie zusammen. Gestiegen ist die Zahl der gemeldeten Cyberangriffe: Sie erreichte mit 227 bei insgesamt 807 Meldungen über Datenpannen einen Höchststand. Dabei sei auffällig, dass zunehmend auch öffentliche Stellen wie Hochschulen Ziel von "offenbar gut vorbereiteten und tief in die Systeme eindringenden Attacken" würden. Fuchs forderte Betriebe und andere Ämter auf, ihre IT-Sicherheitsstandards zu überprüfen. Auch solche, die nicht zu kritischen Infrastrukturen gehören, müssten für dieses Thema mehr Geld ausgeben.

Die Pflichtprüfungen der verdeckten und eingriffsintensiven Maßnahmen im Bereich der polizeilichen Gefahrenabwehr "verliefen schleppend", moniert der Kontrolleur. Sie seien "durch gravierende Mängel bei der Protokollierung" erheblich erschwert worden. So sei es nicht möglich gewesen, sich einen Überblick über die Gesamtzahlen zu verschaffen und die Datenverarbeitung der Hamburger Polizei vollumfänglich nachzuvollziehen. Der Beauftragte beklagt: "Wir mussten quasi händisch herausbekommen, welche Vorfälle es gab".

Verfahren zum G20-Gipfel geht weiter

Späte Genugtuung für den Beauftragten im Bereich öffentliche Sicherheit: Das Oberverwaltungsgericht Hamburg hat nach drei Jahren Pause seine Berufung im Fall der Suche der Polizei nach Randalierern beim G20-Gipfel 2017 in der Hansestadt mithilfe der automatisierten Gesichtserkennungssoftware Videmo 360 angenommen. Die niedere Instanz hatte die Ende 2018 erlassene Anordnung des Datenschützers an die Strafverfolgungsbehörde, die Fahndungsdatenbank zu löschen und auf das wenig effektive Ermittlungsinstrument zu verzichten, zunächst kassiert. Das Rechtsschutzinteresse der Datenschutzbehörde sei aber nach dem mittlerweile erfolgten Löschen des einschlägigen IT-Systems nicht entfallen, erklärte die Berufungsinstanz nun. Fuchs hofft im ersten Halbjahr auf eine Entscheidung, die das bestehende Urteil aufhebt. In dem Verfahren könne auch geklärt werden, welchen Prüfumfang und welche Befugnisse der Aufsichtsbehörde gegenüber anderen öffentlichen Stellen eingeräumt werden.

Rechtssicherheit bei Cookie-Bannern

Zum Abschluss kamen im vorigen Jahr mehrere große europäische Verfahren gegen Plattformen des Social-Media-Konzerns Meta, an denen die Hamburgische Aufsicht beteiligt war. Angesichts teils milder Entscheidungsvorlagen der federführenden irischen Data Protection Commission (DPC) rief sie den Europäischen Datenschutzausschuss (EDSA) an. So verhängte die Behörde in Irland letztlich etwa eine Rekordstrafe in Höhe von 405 Millionen Euro gegen Instagram wegen des Missbrauchs von Kinderdaten. Insgesamt seien in diesem Bereich Bußgelder in Höhe von insgesamt 800 Millionen Euro über die EDSA-Einbindung verhängt worden. 2023 stehe hier noch eine Grundsatzentscheidung gegen Facebook aus.

Seit Anfang 2023 ist Fuchs auch für die Kontrolle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) zuständig. Zentraler Punkt dabei sind Cookie-Banner. Hier setzte die Aufsichtsinstanz voriges Jahr bereits durch, dass der "Alles ablehnen"-Button immer mehr zum Standard wird. Auch in angeblich "erforderlichen Cookies" seien aber oft "viele Tracking-Themen" enthalten, die über das Ziel hinausschössen, kritisiert Fuchs. Die Behörde werde daher Ende März ein erstes Verfahren gegen ein Medienunternehmen einleiten. Generell habe die Datenschutzkonferenz von Bund und Ländern (DSK) Abo-Pur-Modelle geprüft und grundsätzlich als zulässig erachtet. Der Amtsleiter unterstrich: "Wir schaffen Rechtssicherheit in diesem Bereich."

Was aktuell im Fokus steht

Übel stößt dem Ex-Medienwächter auf, dass die Kommission für Jugendmedienschutz (KJM) 2022 drei Systeme mit Künstlicher Intelligenz (KI) zur Alterskontrolle auf Webseiten "ohne nähere datenschutzrechtliche Betrachtung zugelassen" habe. Diese Dienste arbeiteten ohne Sichtkontrolle durch Menschen. Das Missbrauchspotenzial sei gewaltig: Einmal erstellte biometrische Muster ließen sich für Identitätsdiebstahl vom Bankbetrug bis zum gefälschten Nacktvideo zweckentfremden. Zudem dürfe es nicht sein, "dass Individuen einer nicht von Menschen revidierbaren Entscheidung unterworfen und so zum Spielball einer gegebenenfalls undurchsichtigen Software werden".

Gegebenenfalls drohten beim Einsatz solcher Systeme "empfindliche Sanktionen", warnt Fuchs. Interessierte Plattformbetreiber müssten sich im Rahmen einer Datenschutz-Folgenabschätzung selbst vergewissern, dass die DSGVO nicht verletzt wird. Hohe Strafen hält er auch beim Dauerbetrieb von Dashcams und der Parkraumkontrolle mit Kfz-Kennzeichenerkennung für möglich.

(mki)