Skandal? Warum die EM-Auslosung fast gescheitert wäre

Hamburg: Auslosung für die EM 2024 in der Elbphilharmonie. © dpa | Christian Charisius

Hamburg. Dramatische Minuten in Hamburgs Elbphilharmonie, Skandal um sensible Kita-Akten und Google-Ärger. Was der Datenschutz-Report 2023 offenbart.

Es gibt genau einen Report einer Hamburger Behörde, der in jedem Jahr die großen Themen und die kleinen Ärgernisse zusammenfasst, mit denen Menschen konfrontiert sind, die in digitale Welten eintauchen. Ob das nun Google ist, die Facebook-, Instagram- und Whats-App-Mutter Meta oder das Universum der künstlichen Intelligenz – der Tätigkeitsbericht des Hamburgischen Datenschutzbeauftragten Thomas Fuchs legt den Finger in die Wunde.

Die Elbphilharmonie spielt ebenso eine wichtige Rolle in dem 217-Seiten-Werk für das Jahr 2023, eine dort gerade noch abmoderierte Daten-Affäre sowie die Videoüberwachung im Umfeld des Hamburger Hauptbahnhofs und eine schludrige Kita.

EM 2024: Bei Auslosung in Hamburg wäre es fast zum Skandal gekommen

Der Mann hat offenbar so viel Humor, dass er die Titelseite – ein Novum – mit einer speziellen Hamburg-Illustration schmücken ließ. Das Urheberrecht dafür lautet: Adobe Stock (Kristian, KI-generiert). Wenn schon der oberste Datenschützer auf Prompts und KI setzt, sind seine politischen Forderungen nicht weit.

Wer wohl in Deutschland die Aufsicht über die KI-Verordnung übernehmen wird, fragt Fuchs. Und antwortet: „Meines Erachtens kommen für die Aufsicht über die Anwendung von KI-Systemen nur die Datenschutzaufsichtsbehörden in Betracht. Wir kennen die IT-Systeme der Behörden und Unternehmen, insoweit sie personenbezogene Daten verarbeiten. Neue Aufsichtsstrukturen führen nur zu mehr Bürokratie für die Anwender.“

Hamburger Datenschutzbericht 2023: Cyberangriffe und Verstöße bei Behörden

Der Regel-Meister des Datenverkehrs nennt als Beispiele für „politische“ KI die aktuell stark diskutierten Themen Strafverfolgung (wie im Umfeld des Hamburger Hauptbahnhofs am Hansaplatz), Fragen der Migration und Wahlen. „Diese Aufsicht sollte zu einer allgemeinen Zuständigkeit vervollständigt werden: So würden konkrete Risiken beim Einsatz von KI-Produkten, wie Gefährdungen für Gesundheit, Sicherheit und Grundrechtsschutz, aus einer Hand kontrolliert werden.“

Der Hamburgische Beauftragte für Datenschutz, Thomas Fuchs (Archivbild) © Roland Magunia/Hamburger Abendblatt | Roland Magunia/Hamburger Abendblatt

Die Bedrohungen durch Cyberangriffe werden ernster (von 227 auf 235 gestiegen), die Zahl der Beschwerden bei seiner Behörde sind um 20 Prozent gegenüber 2022 gewachsen: von 2160 auf 2537. Viele dieser Fälle gehen auf Google und Meta zurück. Hamburgs oberster Datenschützer hat hier die bundesweite Zuständigkeit.

Daten eines Whistleblowers weitergegeben

Die Senatsbehörden nahm sich Fuchs in vielen Einzelfällen vor, zu denen ein krasser aus der Sozialbehörde zählt. Die hatte von einem Mitarbeiter eines Dienstleisters in der Asklepios Klinik Nord/Ochsenzoll ein Beschwerde-Dossier von mehreren Hundert Seiten („Streng vertraulich“) erhalten, was alles schieflaufe in der Einrichtung des Maßregelvollzugs. Der Mann hatte es auch an Staatsanwaltschaften geschickt, um auf vermeintliche Missstände aufmerksam zu machen. Die Sozialbehörde jedoch hatte das Konvolut ohne zu schwärzen an die Klinik gesandt und den mutmaßlichen Whistleblower identifizierbar gemacht. So hätte die Behörde das nicht tun dürfen, bemängelt der Datenschutzbericht und rügte Melanie Schlotzhauers (SPD) Haus.

Schlimmer war der Fall einer Kita, in der sensible Daten und Protokolle über die Kinder im Altpapier landeten. Ein Hamburger entdeckte zahlreiche Akten in einem öffentlich zugänglichen Container. Was er mit Schrecken las: Dort lagen Kontodaten von Eltern, Kita-Gutscheine, Impfausweise, Berichte über Vorsorgeuntersuchungen, in denen es um die Entwicklung eines Hoden bei einem Jungen ging oder die Frage, welches Kind selbstständig die Toilette aufsuchen könne, aber noch Probleme mit dem Reißverschluss habe.

Sensible Informationen über Kita-Kinder und Eltern im Altpapier

Überraschenderweise reagierte die Kita auf die Infos des besorgten Finders damit, dass sie die Unterlagen nicht abholen oder „sachgerecht“ vernichten könne. Der Datenschutzbeauftragte wurde eingeschaltet und verhängte eine Geldbuße im „niedrigen vierstelligen Bereich“. Was solche Informationen, vor allem die zu Kontodaten der Eltern, im Darknet wert sein können, um sie kriminell auszuschlachten, das steht vermutlich in keinem Verhältnis zur Strafe.

Für alle, die eine Wohnung zur Miete suchen, erinnerte der Datenschutzbericht daran, dass Makler bei den üblichen Selbstauskünften der Bewerber zwar „freiwillige Angaben“ auf ihre Bögen schreiben. Doch Wohnungsbewerber sehen sich unter Druck gesetzt, alle Felder auszufüllen. Ein Einkommensnachweis darf allerdings erst eingefordert werden, wenn der Vertragsabschluss mit einem Interessenten unmittelbar bevorsteht. Im Datenschutzbericht heißt es: „So wurden Daten wie Einkommensnachweise und Bonitätsauskünfte bereits bei bestehendem Anmietungsinteresse erhoben, ohne dass zu diesem Zeitpunkt eine Entscheidung für den bestimmten Bewerber als neuem Mieter getroffen wurde.“

Widersprüche gegen Google Street View

Die Suchmaschine Google hatte Datenschützer Fuchs ebenso im Visier, weil sie offenbar mit Widersprüchen bei Google Street View nicht korrekt umgegangen sei. Wer sein Haus oder seine Wohnung nicht von dem Karten- und Bilderdienst erfassen und lieber verpixeln lassen möchte, kann bei Google sein Veto einlegen. Google hatte ab und an argumentiert, eine Adresse könne nicht zugeordnet werden, mitunter gab es gar keine Antwort an die, die Widersprüche eingelegt hatten. Darauf habe der Hamburgische Datenschutzbeauftragte Google hingewiesen, und das Unternehmen habe das korrigiert.

Google tauschte auch deshalb die alten Bilder gegen neue, weil solche Hamburger Ikonen wie die Elbphilharmonie auf den Street-View-Bildern von 2008 nicht zu sehen waren. Die Elbphilharmonie wurde 2017 eingeweiht – und 2023 zum Schauplatz eines Beinahe-Skandals. Die Auslosung zur Fußball-Europameisterschaft Anfang Dezember dort stand offenbar sogar kurzfristig auf der Kippe.

Elbphilharmonie: Datenkrake Uefa gefährdet EM-Auslosung

Wer bei der EM-Auslosung in Hamburgs Wahrzeichen dabei sein wollte, brauchte eine Akkreditierung, eine Zulassung. Die sollte an die Polizei weitergegeben werden. Die Beamten prüfen im Vorfeld mögliche Gefährdungen. So weit, so normal. Doch der Veranstalter, die Europäische Fußballunion Uefa, wollte auch E-Mail-Adressen und Telefonnummern von Mitarbeitern der Elbphilharmonie. Das war vermutlich nicht zulässig. Denn bei Rückfragen oder einem Verdacht hätte man diese Daten ja auch vom Arbeitgeber bekommen können.

Elbphilharmonie-Mitarbeiter verweigerten sich diesem Prozedere der Uefa. Im Datenschutzbericht steht: „Da in dieser Hinsicht auch besonders qualifiziertes Schlüsselpersonal Zurückhaltung zeigte, der Uefa ihre Telefonnummer zu übermitteln, stand zwischenzeitlich die reibungslose Durchführung der Veranstaltung in Frage.“ Der Datenschutzbeauftragte konnte vermitteln, Auslosung gerettet. Die Beschäftigten durften unter dem Feld für die Telefonnummer auf den Anträgen auch einfach ein paar Nullen eintragen.

Bei der EM sollte das in den Stadien problemloser laufen. Wer rund um die Spiele in den Arenen tätig ist, hat ohnehin einen direkten Draht zur Uefa.