Ob beim Beratungsgespräch mit der Hausbank, beim Doppelkopf-Kurs an der Volkshochschule oder beim Einkauf smarter Geräte im Elektronikmarkt: Datenschutz betrifft den Alltag der Bürgerinnen und Bürger in Rheinland-Pfalz ganz unmittelbar. Das hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz heute in seinem Pressegespräch „Best of Datenschutz“ hervorgehoben. Vorgestellt wurden lebensnahe Datenschutzfälle aus den vergangenen zwölf Monaten, die auf Beschwerden und Datenpannenmeldungen rheinland-pfälzischer Bürgerinnen und Bürger sowie Unternehmen zurückgehen.
„Das Datenschutzrecht wird manches Mal als abstrakt und mühsam wahrgenommen. Für die Bürgerinnen und Bürger ändert sich diese Wahrnehmung aber schlagartig, wenn die Überwachungskamera des Nachbarn plötzlich auf den eigenen Garten ausgerichtet ist oder wenn die halbe Ortsgemeinde aufgrund einer Indiskretion am Bankschalter über die eigenen Finanzverhältnisse Bescheid weiß. Dann wird die Bedeutung des Schutzes von Privatheit für jede und jeden Einzelnen deutlich“, erklärt Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. „Gemeinsam mit meinem Team gehe ich jährlich mehr als 1.500 Beschwerden und Datenpannenmeldungen nach. Meine Aufgabe ist es, das Recht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung sicherzustellen. Und das betrifft alle Lebenslagen, denn Datenschutz ist gerade auch im Alltag von praktischer Bedeutung.“
Zu den vorgestellten Datenschutzfällen aus 2023 und 2024 gehörte ein missglücktes Weihnachtsgeschenk: Eine Frau hatte in einem Elektronikmarkt eine Virtual-Reality-Brille für ihren Sohn erworben. Auf die Bescherung folgte eine böse Überraschung: Mit dem Gerät waren bereits Facebook- und Instagram-Konten verknüpft – mit personenbezogenen Daten und vermutlich wenig kindgerechten Inhalten. Ein anderer Kunde hatte die Virtual-Reality-Brille zuvor gekauft, ausprobiert und innerhalb der Widerrufsfrist zurückgegeben. Im Vorweihnachtsstress hatte ein Mitarbeiter des Elektronikgeschäfts vergessen, die auf dem Gerät gespeicherten Daten des ersten Kunden vor dem Wiederverkauf zu löschen.
Über die Datenschutzfolgen eines vermeintlich alltäglichen Kundengesprächs in einer rheinland-pfälzischen Bankfiliale berichtete die stellvertretende Landesdatenschutzbeauftragte, Dr. Daniela Franke: Weil eine Bankberaterin ein Beratungstelefonat nicht in einem separaten Büro, sondern im öffentlichen Schalterraumgeführt hatte, waren sensible Informationen zu den Vermögenswerten und den Lebensplänen einer Kundin in unbefugte Ohren gelangt.
In einem anderen Fall wehrte sich eine Bürgerin dagegen, dem Jugendamt zur Anerkennung der Vaterschaft für ihr bald erwartetes Kind ihren Mutterpass mit den darin enthaltenen schützenswerten Gesundheitsdaten vorlegen zu müssen. Mit Erfolg: Auf Intervention des Landesbeauftragten hin änderte das Jugendamt seine Vorgehensweise zur Anerkennung von Vaterschaften, künftig wird dort keine Vorlage des Mutterpasses mehr verlangt.
Eine unglückliche IT-Panne ereignete sich bei der rheinland-pfälzischen Polizei. Eine Fahndungswebseite sollte eigentlich Hinweise zu einem Tankstellenräuber sammeln. Aufgrund eines IT-Fehlers waren dort zeitweise jedoch nicht bloß Fotos des Täters zu sehen, sondern – beim Aufruf der Vergrößerungsfunktion für die Bilder – auch Zeugniskopien von gänzlich unbeteiligten Praktikantinnen und Praktikanten, ein Lichtbild eines Polizeibeamten sowie ein Video zu einem mutmaßlichen Wohnungseinbruchsdiebstahl.
Der Landesbeauftragte berichtete auch über den Stand der umfangreichen Prüfungen zur IT-Sicherheit in rheinland-pfälzischen Gesundheitsämtern. Im Ergebnis stellten sich die Befürchtungen hinsichtlich einer unzureichenden IT-Sicherheit in den Gesundheitsämtern als weniger gravierend heraus als in den Ende 2023 erschienenen Presseberichten zunächst angenommen. Anhaltspunkte für ein unbefugtes Abfließen von Gesundheitsdaten der betroffenen Personen an Stellen außerhalb der Verwaltung bestanden nicht. Allerdings deckte der Landesbeauftragte im Rahmen seiner Prüfungen diverse datenschutzrelevante Schwachstellen auf. So verfügte die eingesetzte IT-Anwendung weder über eine datenschutzkonforme Protokollierungsfunktion noch über die gebotene Unterstützung für eine hinreichende Verschlüsselung der Datenbanken. Auch hatte die Software im Auslieferungszustand bislang das Prinzip der datenschutzfreundlichen Voreinstellungen nicht ausreichend beachtet. Auf der Seite der Kreisverwaltungen wiederum entsprach das Datenschutzmanagement häufig nicht den rechtlichen Anforderungen. Der Landesbeauftragte forderte die betroffenen Kreisverwaltungen zur Beseitigung der festgestellten Defizite auf. Zugleich sprach er gegenüber dem zuständigen Ministerium für Wissenschaft und Gesundheit konkrete Empfehlungen zur datenschutzkonformen Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz aus. Zudem wird der Austausch mit dem Hersteller der in den Gesundheitsämtern eingesetzten IT-Anwendung fortgesetzt.
Neben den täglichen Beschwerden und Datenpannen prägten Gesetzgebungsprozesse und Zukunftsfragen die Arbeit der rheinland-pfälzischen Datenschutzaufsicht. Verhandlungen auf Bundesebene zur Änderung des Bundesdatenschutzgesetzes wurden intensiv von den Datenschutzaufsichtsbehörden begleitet. Parallel dazu ist die Diskussion um Künstliche Intelligenz in exponentiellem Maße angewachsen. Beide Themen beschäftigen gerade auch den LfDI Rheinland-Pfalz, der in entsprechenden Gremien Leitungspositionen innehat: dem Arbeitskreis „DSK 2.0“ sowie der „Taskforce KI“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.
Weitere Informationen:
- Handout mit Beschreibung der vorgestellten Datenschutzfälle
- Empfehlungen des LfDI Rheinland-Pfalz an das Ministerium für Wissenschaft und Gesundheit für eine datenschutzkonforme Digitalisierung des Öffentlichen Gesundheitsdienstes in Rheinland-Pfalz