„Datenschutz ist in aller Munde, aber nicht alle verstehen ihn richtig“, sagte Bettina Gayk, NRW-Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI), am Montag bei der Vorstellung ihres neuen Jahresberichtes. Nicht nur Unternehmen, sondern auch Behörden gingen oft zu leichtsinnig mit sensiblen Informationen über Bürgerinnen und Bürger um. Sogar die Polizei bekommt einen Rüffel.

Die gröbsten Verstöße gegen den Datenschutz

Kommunikationsüberwachung

Die Polizei in NRW darf unter bestimmten Umständen heimlich private Telefongespräche über Festnetz oder Mobilfunk überwachen. Das ist allerdings ein tiefer Eingriff in die Privatsphäre und strengen Regeln unterworfen, betont Gayk. So müsse jede Überwachung protokolliert und alle Betroffenen später darüber informiert werden. Die Protokolle sind nach Einschätzung der Datenschützer oft unvollständig. Schlimmer noch: Betroffene wurden anschließend „in keinem Fall“ darüber informiert, dass Privatgespräche mitgehört wurden. Die Polizei habe Besserung versprochen.

Bonitäts-Scoring

Damit ist eine umstrittene Datenverarbeitung gemeint, die zum Beispiel Banken und Telekommunikationsanbieter anwenden, um die Kreditwürdigkeit oder Zahlungsfähigkeit von potenziellen Kunden zu prüfen. Viel zu undurchsichtig und rechtlich heikel sei dieses Scoring. Die Datenschützer sehen „hohen Verbesserungsbedarf“.

Schöffenlisten

2023 haben einige Städte in NRW die Vorschlagslisten für ehrenamtliche Schöffinnen und Schöffen für jeden einsehbar im Ratsinformationssystem im Internet veröffentlicht. Zum Teil enthielten diese Listen laut der Landesbeauftragten sogar Adressen und Geburtsdaten – ein schwerer Datenschutzverstoß.

Microsoft 365

Der durch Künstliche Intelligenz (KI) unterstützte Microsoft Office-Nachfolger bereitet „datenschutzrechtliche Probleme“, zum Beispiel in Schulen. Es sei schwierig zu verhindern, dass Microsoft die Daten von Schulkindern und Lehrkräften für eigene Zwecke nutze. Microsoft müsse sich hier bewegen, sagt Bettina Gayk. Empfehlung: Schule sollten „datenschutzfreundlichere Alternativen“ nutzen.

Vorsicht sei in Schulen auch angebracht beim Nutzen von Online-Lernplattformen mit intelligenten tutoriellen Systemen (ITS) Auch hier können Anbieter private Daten von Schulkindern abgreifen. Die Persönlichkeitsrechte müssten besser geachtet werden.

Die größten Missverständnisse beim Datenschutz

Gesundheitsdaten

Oft verlangen Bürgerinnen und Bürger eine Löschung ihrer Patientenakten. Ärztinnen und Ärzte müssten diese Akte aber zehn Jahre lang aufbewahren, erklärt die Datenschutzbeauftragte. Der Hauptgrund dafür: Behandlungen sollten über einen langen Zeitraum dokumentiert bleiben, damit Menschen später nicht falsch behandelt würden.

Mammographie-Screening

Immer wieder beschweren sich Frauen darüber, dass ohne ihre Einwilligung Daten der Einwohnermeldeämter genutzt werden, um sie zur Brustkrebs-Vorsorge einzuladen. Eine Einwilligung sei jedoch nicht erforderlich und ein Widerspruch gegen die Datenweitergabe fast immer unmöglich, so Bettina Gayk.

Plagiatssoftware

Dürfen Hochschulen Studierenden-Daten an Firmen übermitteln, die mit einer Plagiatssoftware überprüfen, ob bei einer Abschlussarbeit geschummelt wurde? Falls die Prüfungsordnung dies zulasse, sei das kein Problem, so die LDI. Studierende verfügten heute über so gute technische Möglichkeiten, dass die Hochschule in der Lage sein müsse, Betrug zu erkennen.

Offene Fragen beim Datenschutz

Kassenloser Supermarkt

Rewe und andere Anbieter experimentieren damit, in den USA gibt es kassenlose Märkte schon seit 2018. Das Bezahlen an der Kasse entfällt, die Ware wird stattdessen aus dem Regal genommen, dabei gescannt und gleich in die Tasche gesteckt. Viele Kameras und Sensoren überwachen alle Kunden, selbst die, die gar nicht „kassenlos“ einkaufen. Noch sind hier viele Fragen zu klären. Rewe lässt sich dabei von der Datenschutzbeauftragten beraten. Die findet das vorbildlich.

Private Mails am Arbeitsplatz

Firmen, die ihren Beschäftigten die private Nutzung von Internet und E-Mail erlauben, unterliegen nicht mehr dem Telekommunikationsrecht und müssen daher nicht das Fernmeldegeheimnis garantieren. Die Datenschutzbeauftragte empfiehlt Arbeitgebern daher, die die betriebliche und private Nutzung des Internets und des Mail-Accounts klar zu regeln. Es solle geklärt werden, wer Zugriff auf Daten habe, wer sie sammeln und wer Beschäftigte kontrollieren dürfe. Mitarbeitende sollten über Überwachungen informiert werden.