Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI MV) hat heute seinen Tätigkeitsbericht für das Jahr 2020 vorgelegt. Im vergangenen Jahr hatte die Corona-Pandemie massive Auswirkungen auf Struktur und Volumen der von der Behörde zu bewältigenden Aufgaben. Dabei ging es einerseits um die datenschutzrechtliche Zulässigkeit von Maßnahmen der Pandemiebekämpfung, wie die Nachverfolgung von Kontakten, andererseits um die Bewertung technischer Neuerungen, die infolge der Pandemie stärker genutzt wurden, wie zum Beispiel Videokonferenzsysteme.

Die Anzahl der Eingaben und Beschwerden stieg von 533 im Jahr 2019 auf 790 im Jahr 2020. 173 Datenpannen wurden dem LfDI MV von den Verantwortlichen gemäß Artikel 33 DS-GVO gemeldet. Im Vorjahr waren es noch 108. Die Zahl der europäischen Verfahren stieg von 1069 im Jahr 2019 auf 1350 an.

Lag die Zahl der Maßnahmen nach Artikel 58 Absatz 2 DS-GVO 2019 noch bei 82, so waren es 2020 bereits 105. In einer ganzen Reihe von Fällen wurden Maßnahmen lediglich angedroht, aber letztlich nicht vollzogen, da die Androhung bereits die gewünschte Wirkung entfaltete. Zu den 105 Fällen gehören fünf Fälle, in denen der LfDI MV Bußgelder verhängte. Darüber hinaus wurden in zwei Fällen Zwangsgelder festgesetzt sowie zwei Bußgelder auf einer anderen Rechtsgrundlage verhängt.

Die Zahl der anlassbezogenen Prüfungen aufgrund von Anfragen, Meldungen, Beschwerden und ähnlichem ist von 67 im Jahr 2019 auf 134 im Jahr 2020 gestiegen. Die Zahl der anlassunabhängigen Kontrollen, bei denen der LfDI MV festlegt, wo eine Kontrolle vorgenommen wird, verharrt mit fünf auf einem extrem niedrigen Niveau, obwohl gerade hier eine gute Möglichkeit besteht, den Datenschutz nachhaltig zu stärken.

Während im Jahr 2019 noch 175 Veranstaltungen stattfanden, waren dies im Jahr 2020 nur noch 27. Die Maßnahmen der Pandemieeindämmung, die unter anderem eine drastische Reduzierung unmittelbarer Kontakte vorsahen, führten dazu, dass viele Veranstaltungen ausfallen mussten.

Seit Inkrafttreten der DS-GVO ist der LfDI MV für die Durchführung von Bußgeldverfahren bei Datenschutzverstößen durch Polizeibeamtinnen und Polizeibeamte zuständig. Bislang hat die Behörde insgesamt 35 solcher Verfahren eingeleitet. Dabei handelte es sich ganz überwiegend um unberechtigte Abfragen in den EDV-Systemen der Polizei zu persönlichen Zwecken.

Insgesamt zeigt die behördliche Statistik überdeutlich, dass sich die Aufgaben zwar in ihrer Struktur etwas verändert haben, in ihrem Volumen aber nicht etwa kleiner, sondern deutlich größer geworden sind. Der Glaube an eine „Aufgabenblase“ durch die DS-GVO hat sich im Jahr 2020 erneut als kapitaler Irrtum erwiesen.

Das weiter angewachsene Aufgabenvolumen musste die Behörde mit einer unveränderten Stellenanzahl bewältigen. Die bereits im Landeshaushalt vorgesehenen zusätzlichen Stellen wurden nicht entsperrt, vielmehr verharrte der Landtag in seiner Blockadehaltung. „Nach unserer Landesverfassung hat jeder das Recht auf Schutz seiner personenbezogenen Daten“, sagt Heinz Müller, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern. „Aufgabe meiner Behörde ist es, dieses Grundrecht durchzusetzen. Wenn wir nicht über ausreichend Personal verfügen, ist die Grundrechtsgarantie des Artikels 6 unserer Landesverfassung in Gefahr“

In dem Rechtsstreit über das Informationsportal „Neutrale Schule“ des Landesverbands der Partei „Alternative für Deutschland“ (AfD) konnte sich der LfDI MV durchsetzen. Die Behörde hatte bereits im September 2019 die Datenerhebung über das Portal untersagt. Die AfD kam dem Verbot zunächst nach, erhob aber eine Anfechtungsklage gegen die entsprechende Verfügung und ging im Wege des Eilrechtsschutzes auch gegen die Anordnung der sofortigen Vollziehung vor. Das Verwaltungsgericht Schwerin wies im November 2020 die Klage im Hauptsacheverfahren ab und bestätigte die Rechtmäßigkeit des Verbots. Über das Portal waren insbesondere Schülerinnen und Schüler sowie Eltern dazu aufgefordert worden, Lehrerinnen und Lehrer der AfD zu melden, die sich im Schulunterricht kritisch über die AfD geäußert hatten.

Immer wieder kommt es vor, dass sich Frauen beim LfDI MV melden und darüber beschweren, dass der Ex-Partner intime Fotos von ihnen nicht löscht. Ein solcher Löschungsanspruch kann den Abgebildeten wegen der damit verbundenen Verletzung ihres Persönlichkeitsrechts zustehen und ist vor den Zivilgerichten durchzusetzen. Ein datenschutzrechtlicher Verstoß steht erst dann im Raum, wenn die Verarbeitung den privaten und familiären Bereich verlässt, die Fotos also Dritten zugänglich gemacht oder veröffentlicht werden. Der LfDI MV weist darauf hin, dass in diesem Fall das Vorliegen eines Datenschutzverstoßes und daher auch die Verhängung eines Bußgelds in Betracht kommt.

Erneut musste sich der LfDI MV mit zahlreichen Beschwerden zur Videoüberwachung befassen. Einen besonders hohen Anteil hatten dabei Beschwerden zu Videoüberwachungsanlagen in der Nachbarschaft. Auch hier ist die DS-GVO grundsätzlich anwendbar. Die Betreiber einer Videoüberwachungsanlage sollten sich daher schon vor der Installation mit der geltenden Rechtslage auseinandersetzen und anhand der Orientierungshilfe „Videoüberwachung durch nicht-öffentliche Stellen“ der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) prüfen, ob die Anforderungen der DS-GVO erfüllt sind.

Als Folge der Pandemie hielt die Kommunikation über Videokonferenzsysteme in allen Lebensbereichen Einzug. Im Rahmen einer Videokonferenz wird eine Vielzahl personenbezogener Daten verarbeitet. Dafür benötigt der für die Videokonferenz Verantwortliche eine Rechtsgrundlage. Um Unternehmen, Behörden oder sonstigen Organisationen bei der Erfüllung der teils recht komplexen datenschutzrechtlichen Voraussetzungen der Durchführung von Videokonferenzen zu unterstützen, veröffentlichte die DSK im vergangenen Jahr die „Orientierungshilfe Videokonferenzsysteme“. Diese beinhaltet eine Checkliste, mit deren Hilfe die rechtlichen und technischen Anforderungen nacheinander abgearbeitet werden können.

Seit vielen Jahren beschäftigt sich der LfDI MV im Rahmen von Arbeitsgruppen der DSK mit den Produkten der Firma Microsoft. 2020 standen die vertraglichen Regelungen für die Bereitstellung eines Clouddienstes für die Bürosoftware Office 365 mit Anwendungen wie Word, Excel oder PowerPoint im Vordergrund. Da die Datenverarbeitung dabei nicht auf technischen Einrichtungen des datenschutzrechtlich Verantwortlichen stattfindet, sondern auf denen der Firma Microsoft, ist ein Vertrag nach Artikel 28 Absatz 3 DS-GVO erforderlich. Die von Microsoft vorgegebenen vertraglichen Regelungen entsprechen nach Ansicht des LfDI MV jedoch nicht den Anforderungen der DS-GVO. Den datenschutzrechtlich Verantwortlichen empfiehlt der LfDI MV daher, den Einsatz alternativer Produkte, insbesondere aus dem Open Source Bereich, zu prüfen.

Die für eine Verarbeitung Verantwortlichen haben nach der DS-GVO für die Einhaltung der für die Verarbeitung von personenbezogenen Daten geltenden Grundsätze zu sorgen. Doch die Digitale Souveränität der öffentlichen Verwaltung, also die Fähigkeit der öffentlichen Verwaltung, ihre Rolle in der digitalen Welt selbstbestimmt ausüben zu können, ist durch Geschäftsbeziehungen mit externen IT-Anbietern, wie der Firma Microsoft, erheblich beeinträchtigt. Der LfDI MV empfiehlt der Landesregierung die Erarbeitung einer modernen, umfassenden IT-Strategie, um sich aus der Abhängigkeit von einzelnen Anbietern mittelfristig zu lösen.

______________________________________
Der Landesbeauftragte für Datenschutz und
Informationsfreiheit Mecklenburg-Vorpommern
Lennéstraße 1 (Schloss)
19053 Schwerin
Telefon: 0385-59494-0
www.datenschutz-mv.de
info@datenschutz-mv.de