20230329 Datenschutz und die Realität

29.03.2023 Datenschutz und die Realität

Das Gesetz und seine fehlende Umsetzung

Ingo Dachwitz hat auf netzpolitik.org untersucht, wie mit unseren Daten in Wirklichkeit umgegangen wird. "In Wirklichkeit? Aber es gibt doch ganz oben eine Datenschutzgrundverordnung, darunter ein Bundesdatenschutzgesetz und dann für die konkreten Fälle z.B. ein Bundesmeldegesetz. Schaut man jedoch in die einzelnen Ämter, dann kann man staunen, wer alles Zugriff auf die verschiedensten unserer Daten hat und man sucht vergeblich nach den im Gesetz eigentlich vorgesehenen Zweckbestimmungen und Kontrollmechanismen.

Mit "Kleinen Anfragen" hat die Linke-Fraktion 73 Landesbehörden in SachsenAnhalt in den Blick genommen, die beim Landesinnenministerium für die automatisierte Datenabfrage registriert waren. So gibt es neben den Strafverfolgungsbehörden gut 265 öffentliche Stellen in Sachsen-Anhalt, die Zugang zum Zentralen Melderegister haben. Daneben mag es noch weitere Zugriffsmöglichkeiten auf kommunaler Ebene durch öffentliche Stellen geben, die nicht der Aufsicht des Landes unterliegen.

"Es gibt defacto kaum Kontrollmechanismen, wie die Befugnisse genutzt werden, wie umfassend Datenabfragen stattfinden und ob alle datenschutzrechtlichen Regelungen eingehalten werden", kritisiert die innenpolitische Sprecherin der Landtagsfraktion, Henriette Quade, gegenüber netzpolitik.org.

Ein zentrales Monitoring findet nicht statt

Oft weiß selbst in der Behörde niemand genau, wer eigentlich die Zugriffsberechtigung hat, geschweige denn, dass registriert wird, wer wann für welchen Zweck eine Datenabfrage durchgeführt hat. Die gute Methode des 4-Augen-Prinzips kann allein schon wegen der Personalmangels nicht realisiert werden.

Damit werden Datenschutzgesetze zum Papiertiger. Als ein Beispiel zitiert netzpolitik.org einen Fall aus dem Jahr 2021 in Magdeburg: Eine Mitarbeiterin des dortigen Universitätsklinikums hatte über 300 Mal Daten von Menschen abgerufen, die sie dienstlich nicht brauchte.

Das Krankenhaus wies natürlich jegliche Schuld an mangelnder Kontrolle zurück und verwies darauf, dass selbst stichprobenartige Überprüfungen dem Krankenhaus gar nicht möglich gewesen seien. Immerhin musste die Klinik am Ende ein kleines Bußgeld zahlen, weil sie ihre Erkenntnisse nicht freiwillig mit dem Landesdatenschutzbeauftragten teilen wollten. Der Fall wurde nur bekannt, weil sich aus einem der Datenabrufe eine polizeilich verfolgte Körperverletzung entwickelte.

Monitoring = Überwachung?

Was wollt ihr denn nun? Ein zentrales Monitoring wäre doch eine ständige Überwachung der Beschäftigten. Richtig! Die Möglichkeit der Überwachung ist mit der Einführung der Digitalisierung in der Verwaltung gegeben. Ob das Monitoring jedoch für die Überwachung der Beschäftigten genutzt werden darf und genutzt wird, das können Betriebsvereinbarungen und die Durchsetzung der ganz oben genannten Gesetze regeln. Dafür sind diese Gesetze da und für deren Einhaltung sind Betriebsräte in den Unternehmen zuständig.

Was fehlt, sind nicht die Vorschriften, sondern die Bereitschaft der Unternehmen, manchmal auch die Durchsetzungskraft oder der Willen der Betriebsräte, sich dafür einzusetzen. In jedem Fall aber fehlt die Bereitschaft, genügend Mittel und Personal zu bereitzustellen, um den Missbrauch zu verhindern oder zumindest so zu erschweren, dass er nicht mehr flächendeckend um sich greift.

Mehr dazu bei https://netzpolitik.org/2023/tausende-landesangestellte-mit-berechtigung-zugriffe-auf-meldedaten-werden-kaum-kontrolliert/