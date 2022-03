Berlin Die Coronapandemie und ihre Auswirkungen haben im vergangenen Jahr zu gravierenden Datenschutz-Verstößen geführt. Das zeigt eine Umfrage des Handelsblatts unter den Datenschutzbeauftragten des Bundes und der einzelnen Bundesländer.

Insgesamt wurden 397 Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) mit einem Bußgeld geahndet. Zum Vergleich: Im Jahr 2020 waren es 301 Bußgelder. Das entspricht einem Anstieg um rund 30 Prozent.

So waren zum Beispiel bei einigen Testzentren personenbezogene Gesundheitsdaten im Internet leicht einsehbar. Verstöße gab es auch bei der Verarbeitung von Beschäftigtendaten in der Coronapandemie. Die Datenschutzbehörde in Nordrhein-Westfalen etwa verhängte ein Bußgeld von 134.000 Euro, weil Gesundheitsdaten unzulässig an einen Betriebsrat weitergegeben worden waren.

Zu Problemen kam es darüber hinaus bei der Veröffentlichung von Infektionszahlen, der Erhebung des Impfstatus durch Unternehmen und Schulen, der Übermittlung von Impfnachweisen, der Umsetzung der 3G-Regel am Arbeitsplatz oder der Ausstellung digitaler Impfzertifikate durch Apotheken. Dass hier Ausweisdaten kopiert wurden, um an ältere Personen kostenlose FFP-Masken auszuteilen, war ebenfalls nicht zulässig.

Schleswig-Holsteins Datenschutzbeauftragte Marit Hansen sieht ein Muster. „Das Thema Corona zeigt sich deutlich in der Art der Datenschutzverstöße“, sagte sie dem Handelsblatt. Ihr Kollege aus Mecklenburg-Vorpommern, Heinz Müller, sprach von einem ohnehin erhöhten Aufgabenvolumen der Behörde, „was durch die Coronapandemie noch einmal verstärkt wurde“.

Unter anderem berichtet die zuständige Berliner Behörde, wie Daten, die aufgrund der Erfassung von Kontaktdaten in Restaurants, Cafés oder an anderen Orten erhoben werden mussten, zweckentfremdet wurden. Hier griffen Mitarbeiter auf personenbezogene Daten von Frauen zu, um sie privat anzuschreiben und nach ihrem „Beziehungsstatus“ zu fragen.

Baden-Württembergs Datenschutzbeauftragter Stefan Brink erklärte: „Da im Zuge der Pandemiebekämpfung viele Verordnungen unter großem Zeitdruck erstellt wurden, gab es auch immer Unsicherheiten bei denen, die die Verordnungen betrafen.“ Das seien Gaststätten, andere Unternehmen und vor allem die Bürger gewesen. „Wir haben nach Kräften versucht, datenschutzrechtliche Lösungen zu unterstützen, um hier Rechtssicherheit zu schaffen.“

Der rheinland-pfälzische Behördenchef Dieter Kugelmann verweist auf datenschutzrechtliche Fragen durch „den Digitalisierungsschub in Wirtschaft, Verwaltung und Gesellschaft, Homeoffice-Lösungen, den Fernunterricht an Schulen und Hochschulen oder die lawinenartige Zunahme von Videokonferenzen“. Er habe dabei stets versucht, die Pandemie mit ihren Folgen im Blick zu behalten und doch den Datenschutz so weit wie möglich zur Geltung kommen zu lassen.

Die DSGVO für die Verarbeitung, Speicherung und Weitergabe personenbezogener Daten durch öffentliche Stellen, private Firmen und Bürger gilt in Deutschland und der EU seit 2018. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes geahndet werden. Im zweiten Fall kann die Strafzahlung bei mehr als 20 Millionen Euro liegen.

Drei Jahre nach Wirksamwerden der DSGVO hat sich laut Kugelmann die Situation „konsolidiert“: Viele Verantwortliche würden ihren datenschutzrechtlichen Verpflichtungen nachkommen. Die Aufsichtsbehörden würden zudem die neuen Vorschriften „konsequent, aber mit Augenmaß“ anwenden.

Zwar sind im vergangenen Jahr so viele Bußgelder wie noch nie wegen Verstößen gegen die DSGVO verhängt worden. Insgesamt beläuft sich die Summe der verhängten Bußgelder aber nur auf rund 2,4 Millionen Euro. Das ist erheblich weniger als im Jahr zuvor, als Strafen in Höhe von etwa 48 Millionen Euro verhängt wurden. Damals machte allerdings ein Bußgeld rund 35 Millionen Euro aus.

Hohe Strafe gegen Bundesliga-Klub

Das höchste Bußgeld wurde 2021 von der Hamburgischen Datenschutzbehörde gegen den Energieversorger Vattenfall erlassen: Das Unternehmen glich Kundendaten ohne transparente Information ab, was mit gut 900.000 Euro geahndet wurde.

Die baden-württembergische Behörde verhängte ein Bußgeld von 300.000 Euro gegen den Fußball-Bundesligisten VfB Stuttgart, weil der Verein Mitgliederdaten an Dritte weitergeleitet hatte und später keine Angaben mehr dazu machen konnte. In Niedersachsen betrug das höchste im Jahr 2021 verhängte DSGVO-Bußgeld 200.000 Euro. Dabei ging es um die Videoüberwachung von Beschäftigten ohne Rechtsgrundlage.

Diese Summen sind aber nichts gegen einen Fall aus dem Ausland, wie die bremische Landesdatenschutzbeauftragte Imke Sommer berichtet: „Mit den 746 Millionen Euro gegen Amazon hat unsere luxemburgische Kollegin im letzten Juli den Vogel abgeschossen.“

All die anderen den unterschiedlichsten Datenschutzverstößen angemessenen Geldbußen, die die europäischen Aufsichtsbehörden verhängt hätten, trügen aber genauso zur Wirksamkeit der Vorschriften bei.

Typische Fälle im vergangenen Jahr waren etwa diese: Mitarbeiter eines Energieversorgers legten Zahlungsrückstände gegenüber Dritten offen. Akten wurden unsachgemäß entsorgt. Im öffentlichen Bereich gab es unbefugte Datenabrufe durch Beschäftigte, unter anderem durch Polizeibedienstete.

Teils drastischer Anstieg bei Datenpannen

Nach wie vor großer Streitpunkt ist das Auskunftsrecht, mit dem Bürger bei Unternehmen erfragen können, welche Daten dort über sie gespeichert sind oder verarbeitet werden. Erfüllen die Unternehmen das Auskunftsersuchen nicht oder nur unvollständig, können die Datenschutzbehörden Bußgelder verhängen. Rheinland-Pfalz tat dies in einem Fall mit 60.000 Euro, Hessen mit 22.000 Euro.

Dass die Datenschutz-Grundverordnung auch im Privatbereich angewendet werden kann, haben nicht alle Bürger im Blick, meint indes die sächsische Datenschutzbeauftragte Juliane Hundert. „Vor allem Dashcams, also Unfallkameras in Fahrzeugen, werden häufig unbedarft und rechtswidrig eingesetzt“, sagte sie dem Handelsblatt.

In solchen Fällen habe ihre Behörde im vergangenen Jahr Bußgelder von bis zu 1000 Euro verhängt. Hier müsse der Fokus noch mehr auf Prävention und Aufklärung gerichtet werden.

Der bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, verweist mit Blick auf die Entwicklung von Anwendungen mithilfe Künstlicher Intelligenz (KI) darauf, dass „die große Bewährungsprobe“ für die DSGVO noch bevorstehe.

Zum Teil drastisch erhöht hat sich im vergangenen Jahr die Anzahl der Datenpannen. Hier meldete etwa Sachsen eine Steigerung um rund 45 Prozent und Thüringen um fast 30 Prozent gegenüber dem Jahr 2020.

Hierunter fallen zum Beispiel Meldungen zu Briefverlusten auf dem Postweg, zu Falschversand oder falscher Adressierung, zu unzulässigem E-Mail-Versand sowie zur Übergabe falscher Dokumente oder Informationen an Unbefugte.

Insgesamt wurden im Jahr 2021 laut der Handelsblatt-Umfrage knapp 30.000 Datenpannen gemeldet. Beim Bundesdatenschutzbeauftragten Ulrich Kelber gingen allein rund 10.000 Meldungen ein.

Die brandenburgische Landesbeauftragte für den Datenschutz, Dagmar Hartge, meint: „Der große Anteil technischer Mängel an den Meldungen von Datenschutzverletzungen zeigt, dass IT-Sicherheit und Datenschutz eng zusammenhängen.“ Hier seien sowohl im öffentlichen Bereich und in der Wirtschaft als auch im Alltag verstärkte Anstrengungen vonnöten.

Laut der zuständigen Behörde in Rheinland-Pfalz war 2021 die „größte Einzelursache“ bei den Datenpannen die Einschleusung von Schadsoftware, zumeist verbunden mit Hackerattacken. Hier spielten insbesondere „Ransomware“-Angriffe eine Rolle, bei denen von Cyberkriminellen Daten verschlüsselt oder Betriebssysteme gesperrt werden, um im Anschluss für die Entschlüsselung der Daten Lösegeld zu verlangen.

„Das Phänomen ist nicht grundsätzlich neu, erreicht in der letzten Zeit jedoch zunehmend größere Dimensionen“, teilte die rheinland-pfälzische Datenschutzbehörde mit. Schleswig-Holstein sprach von „mehreren Wellen“ im Jahr 2021, in denen Schwachstellen in IT-Systemen ausgenutzt wurden.

„Diesen Trend beobachten wir mit Sorge“, sagte Behördenchefin Hansen. „Ein Teil der Probleme wäre mit zeitnahen Updates vermieden worden, doch es gibt auch Angriffe auf Schwachstellen, die sich nicht so hätten beheben lassen.“

Die deutsche Wirtschaft pocht nach wie vor auf Verbesserungen bei der Datenschutz-Grundverordnung. So auch Stephan Wernicke, Chefjustiziar des Deutschen Industrie- und Handelskammertags (DIHK): „Ein EU-weit tätiges Unternehmen muss sich an unterschiedliche, teilweise widersprüchliche Auslegungen und Rechtsprechung in verschiedenen Mitgliedstaaten anpassen.“

Die Umsetzung der DSGVO belaste zudem die kleinen und mittleren Unternehmen überproportional stark, kritisiert Wernicke. Dabei wären für sie vereinfachte Vorschriften oder Ausnahmeregelungen möglich. Vor allem die Dokumentations-, Informations- und Nachweispflichten empfänden viele Unternehmen als „überbordende Bürokratie“.

