Datenschutz in NRW: Jetzt schummelt sogar die Polizei

Bei der Telekommunikationsüberwachun schießen Polizistinnen un Polizisten immer wieder übers Ziel hinaus. Betroffene würden nach der Maßnahme nicht informiert, so der NRW-Datenschutz. © dpa | Marijan Murat

Düsseldorf. Der Appetit von Firmen und Ämtern auf sensible Informationen sei weiter riesig, warnt die NRW-Datenschutzbeauftragte Bettina Gayk.

„Datenschutz ist in aller Munde, aber nicht alle verstehen ihn richtig“, warnte Bettina Gayk, NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI), am Montag bei der Vorstellung des aktuellen Jahresberichtes. Nicht nur Unternehmen, sondern auch Behörden gingen oft zu leichtsinnig mit sensiblen Informationen über Bürgerinnen und Bürger um. Sogar die Polizei bekommt einen Rüffel.

Die gröbsten Versöße gegen den Datenschutz

Telekommunikationsüberwachung (TKÜ): Die Polizei in NRW darf unter bestimmten Umständen heimlich private Telefongespräche über Festnetz oder Mobilfunk überwachen. Das ist allerdings ein tiefer Eingriff in die Privatsphäre und strengen Regeln unterworfen, betont Bettina Gayk. So müsse jede Überwachung protokolliert und alle Betroffenen darüber informiert werden, dass Privatgespräche mitgehört wurden. Die Protokolle sind nach Einschätzung der Datenschützer oft unvollständig. Schlimmer noch: Betroffene wurden anschließend „in keinem Fall“ informiert. Die Polizei habe Besserung versprochen.

Bonitäts-Scoring: Damit ist eine Datenverarbeitung gemeint, die zum Beispiel Banken und Telekommunikationsanbieter anwenden, um die Kreditwürdigkeit oder Zahlungsfähigkeit von potenziellen Kunden zu prüfen. Viel zu undurchsichtig und rechtlich heikel sei dieses Scoring. Die Datenschützer sehen „hohen Verbesserungsbedarf“.

Schöffen-Listen: 2023 haben einige Städte in NRW die Vorschlagslisten für Schöffinnen und Schöffen für jeden einsehbar im Ratsinformationssystem im Internet veröffentlicht. Zum Teil enthielten diese Listen laut der Landesbeauftragten Adressen und Geburtsdaten – ein schwerer Datenschutzverstoß.

Microsoft 365: Der durch Künstliche Intelligenz (KI) unterstützte Microsoft Office-Alternative bereitet „datenschutzrechtliche Probleme“, zum Beispiel in Schulen. Es sei schwierig zu verhindern, dass Microsoft die Daten von Schulkindern und Lehrkräften für eigene Zwecke nutze.  Microsoft müsse sich hier bewegen, sagt Bettina Gayk. Empfehlung: Schule sollten „datenschutzfreundlichere Alternativen“ nutzen.

Vorsicht sei in Schulen auch angebracht beim Nutzen von Online-Lernplattformen mit intelligenten tutoriellen Systemen (ITS) Auch hier können Anbieter private Daten von Schulkindern abgreifen. Die Persönlichkeitsrechte müssten besser geachtet werden.

„Datenschutz ist in aller Munde, aber nicht alle verstehen ihn richtig“, warnte Bettina Gayk, NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI), am Montag bei der Vorstellung ihres neuen Jahresberichtes. © dpa | Oliver Berg

Die größten Missverständnisse beim Datenschutz

Gesundheitsdaten: Oft verlangen Bürgerinnen und Bürger eine Löschung ihrer Patientenakten. Ärztinnen und Ärzte müssten diese Akte aber zehn Jahre lang aufbewahren, erklärt die Datenschutzbeauftragte. Behandlungen müssten über einen langen Zeitraum dokumentiert bleiben, damit Menschen später nicht falsch behandelt würden.

Mammographie-Screening: Immer wieder beschweren sich Frauen darüber, dass ohne Einwilligung Daten der Einwohnermeldeämter genutzt werden, um sie zur Brustkrebs-Vorsorge einzuladen. Eine Einwilligung sei nicht erforderlich und ein Widerspruch fast immer unmöglich, so Bettina Gayk.

Plagiatssoftware: Dürfen Hochschulen Studierenden-Daten an Firmen übermitteln, die mit einer Plagiatssoftware überprüfen, ob bei einer Abschlussarbeit geschummelt wurde? Falls die Prüfungsordnung dies zulasse, sei das kein Problem, so die LDI. Studierende verfügten heute über so gute technische Möglichkeiten, dass die Hochschule in der Lage sein müsse, Betrug zu erkennen.

Eine der größten Datenschutzbehörden in der EU

Nach Schätzungen sind im vergangenen Jahr 58 Prozent der deutschen Unternehmen von Cyberangriffen betroffen gewesen, darunter auch öffentliche Stelle, so die Landes-Datenschutzbeauftragte. Firmen und Behörden sollten daher ein funktionierendes Notfallmanagement haben. 2023 erreichten die LDI rund 11.050 schriftliche Eingaben, zum Beispiel zu Datenpannen. Insgesamt wurden Bußgelder in einer Höhe von 64.650 Euro fällig.

Offene Fragen beim Datenschutz

Kassenloser Supermarkt: Rewe und andere Anbieter experimentieren damit, in den USA gibt es kassenlose Märkte schon seit 2018. Das Bezahlen an der Kasse entfällt, die Ware wird aus dem Regal genommen und gleich in die Tasche gesteckt. Viele Kameras und Sensoren überwachen alle Kunden, selbst die, die gar nicht „kassenlos“ einkaufen. Noch sind hier viele Datenschutz-Fragen offen. Rewe lässt sich dabei von der Datenschutzbeauftragten beraten. Die findet das vorbildlich.

Private Mails am Arbeitsplatz: Firmen, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben, unterliegen nicht mehr dem Telekommunikationsrecht und müssen daher nicht das Fernmeldegeheimnis garantieren. Die Datenschutzbeauftragte empfiehlt Arbeitgebern daher, die die betriebliche und private Nutzung des Internets und des Mail-Accounts klar zu regeln. Es sollte weiter geklärt werden, wer Zugriff auf Daten habe, wer sie sammeln und wer Beschäftigte kontrollieren dürfe. Mitarbeitende sollten über Überwachungen und Sanktionen informiert werden.