Hamburg . Gesichtserkennung sammelt Daten unbescholtener Bürger. Andere Behörden verschicken sensible Daten unverschlüsselt.
Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat eine positive Zwischenbilanz der im Mai 2018 in Kraft getretenen Datenschutzgrundverordnung (DSGVO) gezogen. „Datenschutz ist ein Grund- und Menschenrecht“, sagte Caspar bei der Vorstellung seines Jahresberichts.
Dass die Zahl der Beschwerden, Eingaben und Beratungsersuchen sich bis zum Jahresende 2018 gegenüber dem Vorjahr fast verdoppelt habe, sei ein Zeichen dafür, dass die Menschen die die DSGVO angenommen hätten und ihre neuen Rechte wahrnähmen. Die von der EU erlassene Verordnung hatte umfassende Regeln zur Verarbeitung personenbezogener Daten durch private Firmen und öffentliche Stellen eingeführt.
Ende der Fotografie ist nicht eingetreten
Im Vorwege hatte es zahlreiche Bedenken gegeben, diese hätten sich aber als übertrieben herausgestellt, so Caspar. „Da war die Rede vom Verbot der Klingelschilder mit Namensaufdruck, dem Ende der Fotografie in der Öffentlichkeit oder auch einem massenhaften Löschen von polizeilichen Akten aufgrund der neuen Regelungen, die eine Kriminalprävention der Polizei behindere“, sagte der Datenschützer. All dies habe sich als falsch erwiesen.
„Ich beobachte mit Sorge, dass anstelle von Information und Aufklärung die Fiktion einer wirtschaftsfeindlichen sowie tä̈terfreundlichen Verbotskultur durch den modernen Datenschutz eine negative Grundstimmung erzeugt wird.“ Datenschutz sei kein Selbstzweck. „Wir stehen gegenwärtig am Beginn einer Entwicklung, die das Leben der Menschen von Grund auf verändern wird. Im Zeitalter der Künstlichen Intelligenz, des Targeting, biometrischer Überwachung und des social scoring sind die empfindlichsten Stellen des Menschen seine Daten. Digitalisierung und Datenschutz dürfen daher keine Gegensä̈tze sein, sonst verspielen wir die Chance auf einen Fortschritt mit menschlichem Antlitz.“
Caspar übt auch Kritik an DSGVO
Caspar übte aber auch Kritik an Teilen der DSGVO bzw. ihrer Umsetzung. Erstens gehe vieles zu langsam bei der Überprüfung und Beratung – die zuständigen Stellen, wie etwa seine, seien nicht gut genug ausgestattet. Zweitens habe es sich als problematisch erwiesen, dass der „kleine Bäcker“ oder der Verein im Stadtteil dieselben Anforderungen erfüllen müsse wie das global agierende Unternehmen. Da hätten sich viele überfordert gefühlt. Und drittens sei aufgrund der zeitaufwendigen Großverfahren der Eindruck entstanden gegen die großen Firmen werde nicht vorgegangen.
Aus dem Datenschutzbericht 2018 haben Caspar und seine Mitstreiter am Donnerstag im Rathaus einige aus ihrer Sicht besonders relevante Probleme präsentiert. So sei bei dem Großprojekt „Digital First“ mit dem bis 2022 rund 500 Verwaltungsdienstleistungen auch online angeboten werden sollen, auf eine sichere Authentifizierung zu achten, Passwort und Benutzerkennung reichten zumindest bei sensiblen Daten nicht aus.
Sensible Daten unverschlüsselt verschickt
Zudem wiesen die Datenschützer darauf hin, dass Hamburger Behörden und Ämter immer noch teilweise hochsensible personenbezogenen Daten über unverschlüsselte E-Mails verschickten. Das sei etwa in Jugendämtern passiert. Die Stadt müsse für dieses Problem eine einheitliche Lösung finden, die den Datenschutz gewährleiste. Die Kommunikation mit unverschlüsselten Mails sei vergleichbar mit dem Verschicken von offenen Postkarten.
Nicht entschieden ist der offenen Konflikt der Datenschützer mit der Hamburger Polizei. Hintergrund ist der Einsatz von Gesichtserkennungssoftware zur Erkennung von Straftätern beim G20-Gipfel. Eine spezielle Software habe dafür Gesichter und ihre speziellen Eigenschaften (Nasenform, Augenabstand usw.) gescannt und in einer Datenbank gespeichert.
Videoüberwachung sieht Caspar kritisch
Damit seien Menschen auf Bildern erkennbar und auch die Wege vieler völlig unbescholtener Bürger durch die Stadt würden leicht nachvollziehbar, etwa von Pendlern, die bestimmte S-Bahn-Haltestellen nutzten. Dafür aber gibt es aus Sicht von Caspar bisher keine Rechtsgrundlage. Er ordnete daher die Löschung der Datenbank (aber nicht des Bildmaterials selbst) an. Die Polizei zog gegen diese Anordnung vor das Verwaltungsgericht. Das Verfahren läuft noch.
Die Datenschützer befassten sich auch mit neuen Verkehrstechniken, bei denen viele Daten anfallen, etwa dem autonomen Fahren und anderen Projekten für den ITS Weltkongress für intelligente Transportsysteme 2021 in Hamburg.
Facebook-Streit geht weiter
Auch der ewige Streit mit Facebook ging 2018 weiter. So eröffnete Caspar ein Verfahren gegen das soziale Netzwerk wegen der Datenweiterabgabe an die Firma Cambridge Analytica, die Profile analysiert und die Daten für den US-Wahlkampf nutzbar gemacht hatte. Das Verfahren musste aber eingestellt werden – auch weil seit Inkrafttreten der DSGVO Irland als europäischer Hauptsitz zuständig ist. In Hamburg hat Facebook lediglich seine Deutschland-Zentrale.
Erfreut nahm Caspar das Urteil des Europäischen Gerichtshofs vom Sommer 2018 zur Kenntnis, nach dem Betreiber von Facebook-Seiten (Fan Pages) nun selbst verantwortlich dafür sind, dass Daten von Nutzern nicht widerrechtlich gesammelt und verwendet werden. Dafür müssen sie Vereinbarungen mit Facebook treffen.
Öffentlichen Stellen, also auch dem Senat, riet Caspar erneut ab, über Facebook zu kommunizieren. Das sei keinesfalls zwingend – und man füttere damit ein System, das sich als sehr problematisch erwiesen habe und den „Diskurs erschwere“. Wünschenswert sei es, irgendwann zu einem sozialen Netzwerk zu kommen, auf dem der öffentliche Austausch möglich und gleichzeitig der Datenschutz gewährleistet sei, so Caspar. Daher begrüße er auch das kürzlich angekündigte Vorgehen des Bundeskartellamtes gegen Facebook.
Verwarnverfahren gegen Gesundheitsbehörde
Im Zusammenhang mit der Überwachung des E-Mail-Postfachs eines Mitarbeiters der Gesundheitsbehörde hat Caspar jetzt ein Verwarnungsverfahren gegen die Behörde von Senatorin Cornelia Prüfer-Storcks (SPD) eingeleitet. Die hatte eine E-Mail-Account öffnen und Mailinhalte eines Mitarbeiters lesen lassen (Abendblatt berichtete).
Da die Stadt gemäß einer grundsätzlichen Vereinbarung die private Nutzung der dienstlichen Mailaccounts im vertretbaren Rahmen erlaubt, sei das Vorgehen der Behörde gegen den Mitarbeiter rechtlich nicht in Ordnung gewesen. Insgesamt seien im vergangenen Jahr 13 solcher Fälle bei ihm gemeldet worden.
Deutliche Kritik übte Caspar, der auch Beauftragter für Informationsfreiheit ist, an einem Teil des geplanten neuen europäischen Urheberrechts. Danach sollen Anbieter wie Youtube vor der Veröffentlichung neuer Beiträge ihrer Nutzer diese durch so genannte Upload-Filter prüfen lassen. Damit soll festgestellt werden, ob darin urheberrechtlich geschütztes Material enthalten ist. Diese Pläne könnten wie eine Zensur wirken, so Kritiker. „Uploadfilter sind Black Boxes“, sagte Caspar, man wisse nicht, wie sie funktionieren. Und sie geben Algorithmen die Hoheit über die öffentliche Kommunikation. „Uploadfilter sind kein adäquates Mittel“, so der Informationsfreiheitsbeauftragte. „Das sind Büchsen der Pandora, bei denen kein Mensch mehr weiß, was sie tun. Das ist ein absolut intransparentes System.“