Im Rathaus hat heute der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Thomas Fuchs seinen Tätigkeitsbericht an Bürgerschaftspräsidentin Carola Veit übergeben und im Anschluss Fragen der Presse beantwortet.
KI-Verordnung: Aufsicht bei Datenschutzbehörden
Zur kürzlich verabschiedeten KI-Verordnung verhandelt der Tätigkeitsbericht eine entscheidende Frage in der Einleitung: Wer wird in Deutschland die Aufsicht über deren Einhaltung übernehmen? Hier sieht Thomas Fuchs eine klare Zuständigkeit:
„Meines Erachtens kommen für die Aufsicht über die Anwendung von KI-Systemen nur die Datenschutzaufsichtsbehörden in Betracht. Wir kennen die IT-Systeme der Behörden und Unternehmen, insoweit sie personenbezogene Daten verarbeiten. Neue Aufsichtsstrukturen führen nur zu mehr Bürokratie für die Anwender.“
Bei wichtigen politischen Themen werden die Datenschutzbehörden nach der KI-VO ohnehin zuständig sein. Wenn KI zur Strafverfolgung oder in Migrationsfragen eingesetzt wird oder Wahlen beeinflusst, werden Datenschutzbehörden die Aufsicht führen.
Thomas Fuchs fordert: „Diese Aufsicht sollte zu einer allgemeinen Zuständigkeit vervollständigt werden: So würden konkrete Risiken beim Einsatz von KI-Produkten, wie Gefährdungen für Gesundheit, Sicherheit und Grundrechtsschutz aus einer Hand kontrolliert werden.“
Entwicklung der Fallzahlen für Beschwerdeverfahren und Hacker-Angriffe
Die Zahl der Beschwerdeverfahren hat wieder zugenommen und liegt mit 2537 Fällen knapp 20 Prozent über dem Vorjahreswert von 2160. Der Anstieg ist größtenteils auf eine wachsende Zahl von Beschwerden im Zusammenhang mit Produkten von Meta und Google und die federführende Rolle des HmbBfDI in Deutschland für diese Unternehmen zurückzuführen.
Weiter ansteigend sind auch die gemeldeten Datenschutzverletzungen. Nach 859 Fällen im Vorjahr stieg die Zahl der Data Breach-Meldungen auf insgesamt 925, die Zahl gemeldeter Hackerangriffe auf 235 (im Vorjahr 227). Nur zur Erinnerung: In 2019 gab es in Hamburg nur 74 gemeldete Hackerangriffe.
Zudem hat der HmbBfDI 20 Bußgeldverfahren in 2023 eingeleitet.
Unternehmen vernachlässigen Löschpflichten
Zahlreiche, auch aktuelle, Verfahren des HmbBfDI betreffen gravierende Fehler von Unternehmen im Umgang mit veralteten Datenbeständen. So werden nicht mehr genutzte Datenbestände mit Personenbezug, wie etwa Ausweiskopien oder Finanzdaten, nicht gelöscht, obwohl der Zweck der Datenverarbeitung schon lange entfallen ist. Dies ist nicht nur eine Verletzung der DSGVO, sondern auch Ausdruck eines mangelhaften Datenmanagements, das der HmbBfDI in den verschiedensten Branchen, von Inkassodiensten bis zum Gastgewerbe, beobachtet. Ein Löschkonzept gehört zur datenschutzrechtlichen Grundausstattung jeder datenverarbeitenden Stelle. Dafür braucht es bereits vor der Erhebung eine Bestandsaufnahme, welche Daten überhaupt gesammelt werden und wie lange sie voraussichtlich benötigt werden. Eine weitere Aufbewahrung ohne konkreten Zweck verletzt die Rechte der Betroffenen. Hierzu Thomas Fuchs: „Old Data ist nicht Big Data: Wenn die Kundenbeziehung endet, sind die erhobenen Daten je nach Typ sofort oder nach festgelegten Fristen zu löschen.“
Gestaltende Rolle der Datenschutzaufsicht
Immer stärker kommt die gestaltende Rolle der Datenschutzaufsichtsbehörden zum Tragen und lässt sich an konkreten Projekten ablesen. So konnte Google im Jahr 2023 seinen Dienst Street View durch neue Aufnahmen aktualisieren. Aufgrund großen Widerstands gegen die Aufnahmen im Jahr 2010 war der Dienst in Deutschland seitdem nicht mehr erneuert worden, sodass Gebäude jüngeren Datums, wie beispielsweise die Elbphilharmonie, nicht auffindbar waren. Der HmbBfDI vereinbarte für die Aktualisierung frühzeitig klare Regeln, die das Recht der Bürger:innen auf informationelle Selbstbestimmung, in diesem Fall die Weigerung, das eigene Haus abbilden zu lassen, durch ein umfassendes Widerspruchsrecht sicherten, und dem Unternehmen zugleich die Nutzung der geduldeten Bilder ermöglichten. Auch in anderen Fällen, etwa bei der Ausgestaltung von sogenannten Pur-Abo-Modellen, konnten mit betroffenen Unternehmen datenschutzkonforme Lösungen gefunden werden.
Hier finden Sie den 32. Tätigkeitsbericht Datenschutz 2023 in voller Länge.
Englisch version of the press release: HmbBfDI Data Protection Report 2023.
