Herr Vizepräsident! Meine Damen und Herren! Zuallererst möchte ich Frau Hartge und ihren Mitarbeiterinnen und Mitarbeitern für die engagierte, verantwortungsvolle und manchmal auch mühselige Arbeit danken - und natürlich auch für die Vorlage der Berichte.
(Beifall DIE LINKE sowie der Abgeordneten Schäf- fer [B90/GRÜNE] und des fraktionslosen Abgeordneten Stefke)
Wenn man diese Berichte liest, wird deutlich, welch riesige Fülle an Aktivitäten durch den Datenschutz tangiert wird - und wie wenig Sorgsamkeit und Sensibilität teilweise an den Tag gelegt wird.
Wie auch schon in den Vorjahren bezieht sich ein großer Teil der Beschwerden an die Datenschutzbeauftragte auf Videoüberwachungen. Fast 250 Beschwerden bezogen sich auf diesen Bereich. Dabei spielen neben dem öffentlichen Raum auch sensibelste Bereiche wie eine Saunalandschaft oder auch der Vorraum einer Bank eine Rolle. Hier ist von den Unternehmen unbedingt mehr Sensibilität einzufordern.
Dass aber nicht nur Unternehmen betroffen sind, zeigt der Fall einer Flüchtlingsunterkunft, in der 120 Überwachungskameras installiert waren - das spielte ja auch medial schon eine Rolle. Nicht nur wurden öffentlich zugängliche Bereiche überwacht, einige Kameras waren auch auf Zimmertüren, den Spielplatz oder Zugänge zu sanitären Einrichtungen gerichtet. Zudem wurden die Aufnahmen nicht nur in Echtzeit durch den Sicherheitsdienst überwacht, sondern auch dauerhaft gespeichert und die Zugriffe nicht dokumentiert. Gespräche mit dem Landkreis führten zwar zu Verbesserungen, nicht alle Beanstandungen konnten jedoch bis zur Vorlage des Berichts abgestellt werden.
Allein dieses Beispiel zeigt, dass es auch im staatlichen Bereich teilweise zu eklatanten Verstößen kommt. Irritierend finde ich,
dass in der - ohnehin sehr spärlichen - Stellungnahme der Landesregierung auf diesen Fall gar nicht eingegangen wird. Es handelt sich bei der Unterbringung von Geflüchteten um eine Aufgabe zur Erfüllung nach Weisung, und dem MSGIV obliegt die Heimaufsicht. Es bleiben deshalb Fragen, inwiefern das MSGIV auf diesen Fall reagiert hat, beispielsweise durch Weisungen oder Hinweise an die Kommunen oder auch durch Anweisungen an die Heimaufsicht dahin gehend, bei der Kontrolle der Unterkünfte auch auf die Persönlichkeitsrechte der Geflüchteten betreffende Verstöße zu achten.
Meine Damen und Herren! Ein anderer Schwerpunkt der Arbeit der Datenschutzbeauftragten war erneut die Nachbereitung der Coronapandemie. Hier ist es in mehreren Fällen zum Missbrauch von Daten gekommen, die zur Kontaktnachverfolgung erhoben wurden. So haben Besucher eines Restaurants einen Newsletter zugesandt bekommen, der mit Mailadressen gefüttert wurde, die im Rahmen der Kontaktnachverfolgung erfasst wurden. Und ein Bäderbetrieb erfasste Daten, die nicht im Rahmen der Coronaschutzverordnung festgelegt waren, und musste deshalb ein Bußgeld zahlen.
Und einen dritten Bereich möchte ich hier erwähnen: Das ist der Bereich der Sicherheit moderner Kommunikationsmittel. Auch hier braucht es deutlich mehr Sensibilität und Sorgfalt. Ob nun ein Hackerangriff auf die Website eines Verbands der Gesundheitsbranche, unverschlüsselte Daten von Wasserzählern oder auch frei verfügbare Mitgliederdaten eines Anglervereins inklusive Adressen und Kontoverbindungen - all diese Fälle zeigen, dass es hier ein weites Feld gibt, das die Sicherheit personenbezogener Daten tangiert.
Meine Damen und Herren, da wäre noch etwas, das ich hier ansprechen möchte: Bei allen Danksagungen für den Bericht, die hier von allen Seiten kommen, bleibt die desolate Unterbringungssituation der Datenschutzbeauftragten und ihrer Mitarbeiterinnen und Mitarbeiter bestehen.
Diese Situation ist aus meiner und unserer Sicht schon lange nicht mehr angemessen. Die bisher seitens der Landesregierung vorgestellten Pläne und Zeiträume zur Verlagerung und Erweiterung der Dienststelle sind unzureichend. Die Landesdatenschutzbeauftragte hat uns ihre Situation, die nicht gut für die Bediensteten und nicht gut für die Arbeit ist, nicht nur einmal geschildert. Hier muss es endlich eine deutliche Verbesserung der Situation geben, und wir erwarten von der Landesregierung, dass sie hier endlich tätig wird.
Von der Koalition, meine Damen und Herren, erwarten wir neben den vielen warmen Worten hier im Plenum, dass sie ihren Einfluss bei der Regierung geltend macht, um bessere Arbeitsbedingungen für die Dienststelle der Landesdatenschutzbeauftragten zu erreichen. Das wäre - da bin ich mir sicher - sehr viel mehr Wertschätzung der Arbeit der Datenschutzbeauftragten und ihrer Mitarbeiterinnen und Mitarbeiter als warme Worte und Danksagungen einmal im Jahr hier im Plenum. - Herzlichen Dank für die Aufmerksamkeit.
Vielen Dank. - Wir fahren mit dem Beitrag der Fraktion BÜNDNIS 90/DIE GRÜNEN fort. Zu uns spricht die Abgeordnete Schäffer. Bitte schön.
Herr Vizepräsident! Meine Damen und Herren! Liebe Frau Hartge! In diesem Jahr hat die DSGVO ihren fünften Geburtstag gefeiert. Allerdings zeigt uns der vorliegende Bericht auch einmal mehr, dass das Gesetz eben nicht automatisch gelebte Praxis ist, und wie viel noch zu tun ist, um das Grundrecht auf informationelle Selbstbestimmung auch wirklich in allen Bereichen zu schützen.
Gerade dort, wo Menschen staatlichem Handeln ausgesetzt sind und eben nicht wie in der Wirtschaft die Möglichkeit haben, AGBs abzulehnen, muss besonders genau hingeschaut werden: Sei es bei der Gemeinschaftsunterkunft mit ausufernder Videoüberwachung privater Lebensbereiche oder seien es Behördenvertreter, die mit Privathandys Ausweisdokumente abfotografieren wollen. Solche Vorfälle zeigen immer wieder, wie wichtig es ist, dass es eine starke, unabhängige Stelle gibt, die die Einhaltung der rechtlichen Rahmenbedingungen überwacht und unterstützt.
Blickt man nun in den Bericht 2022, so hat man zunächst ein kleines Déjà-vu: Er beginnt direkt mit der Überschrift „Betrieb von Facebook-Fanpages durch öffentliche Stellen“. Das kommt einem irgendwie bekannt vor, wenn man die Debatten der letzten Jahre verfolgt hat, weist uns doch die Landesdatenschutzbeauftragte seit Jahren wiederholt auf das Thema der Facebook-Fanpages hin. Die Rechtslage ist durch zwei EuGH-Entscheidungen eigentlich klar. Und das ist auch nicht nur die isolierte Meinung der Brandenburger Datenschutzbeauftragten, sondern die einhellige Meinung von allen Beauftragten des Bundes und der Länder: Der Betrieb dieser Fanpages insbesondere durch öffentliche Stellen ist nicht mit EU-Recht zu vereinbaren. Da verwundert es doch ein wenig, dass die Stellungnahme der Landesregierung komplett auf eine Aussage zu den Ausführungen im Bericht verzichtet und auch in der Ausschussberatung eine Stellungnahme abgelehnt wurde.
Es ist die Aufgabe der Aufsichtsbehörden, hier dem Recht zur Durchsetzung zu verhelfen. Und ehrlich gesagt fällt es mir durchaus schwer, einer Unternehmerin zu erklären, warum sie bei Verstößen gegen die DSGVO mit teils erheblichen Geldbußen rechnen muss, wenn gleichzeitig Behörden eine so eindeutige Rechtslage über Jahre hinweg ignorieren.
Der Staat hat auch in diesem Bereich eine Vorbildfunktion. Es ist zu begrüßen, dass die LDA hier ihren Auftrag ernst nimmt, auch wenn es im Bereich der Öffentlichkeitsarbeit unbequem ist.
Ähnlich schwierig ist die Lage beim Einsatz von Microsoft Office 365 und anderer Software, die entgegen europäischer Gesetze detaillierte Informationen an die Hersteller übermittelt. Trotz aller Bemühungen der Aufsichtsbehörden bleiben hier rechtliche Probleme beim Einsatz bestehen, und es bleibt der Appell an staatliche Stellen, die als Großkunden nun einmal eine erhebliche Macht haben, darauf hinzuwirken, dass ein datenschutzkonformer Betrieb gewährleistet wird. Das ist kein frommer politischer Wunsch, sondern eine rechtliche Pflicht und muss
Unabhängig von der Datenschutzproblematik und vom Fall Microsoft muss die Reduzierung der Abhängigkeit von einzelnen Unternehmen bei kritischer Infrastruktur eine absolute Priorität sein - Frau Hartge hat das gerade am Beispiel der Dienstleistungsunternehmen sehr deutlich geschildert. Das Ziel der digitalen Souveränität, das wir uns im Koalitionsvertrag gesetzt haben, ist durch die Entwicklungen in der Welt noch bedeutender geworden.
Sie alle wissen um den schwierigen Zustand und die Gefahr, die von staatlichem oder staatlich unterstütztem Hacking ausgeht. Die Schäden, die dabei entstehen können, sind schon lange nicht mehr nur theoretisch. Neben den finanziellen Schäden bleibt vor allem der Vertrauensverlust in den Staat. Und zugleich muss ich darauf hinweisen, dass die Millionenschäden durch Hackerangriffe, die wir bisher in Deutschland gesehen haben, in aller Regel „nur“ die Folge ganz normaler Kriminalität sind und noch weit von den leider durchaus realistischen Worst-CaseSzenarien entfernt sind, die eintreten könnten, wenn wir nicht schnell einen radikalen Kurswechsel hinbekommen, um den sicheren Betrieb unserer digitalen Infrastrukturen wirklich zu priorisieren.
Wir brauchen einheitliche Mindeststandards für den IT-Betrieb in Kommunen und gleichzeitig Unterstützung von Bund und Ländern, damit diese auch realistisch umgesetzt werden können - und zwar nicht irgendwann, sondern sehr, sehr schnell. Und da appelliere ich noch einmal an den Innenminister, die Augen nicht vor den Zuständen zu verschließen und bei der Umsetzung der europäischen NIS2-Richtlinie die Kommunen und sensible Bildungseinrichtungen nicht außen vor zu lassen.
Wenn Frau Hartge im Ausschuss berichtet, dass staatliche Stellen Datenschutz und Informationssicherheit teilweise zugunsten einer scheinbar schnellen und weniger aufwendigen Lösung zur Seite schieben, mache ich mir sehr große Sorgen um die Sicherheit des Standorts Deutschland und das Vertrauen der Bürgerinnen und Bürger in unseren Staat.
An der Stelle möchte ich tatsächlich gerne kurz auf den Beitrag des Kollegen Lakenmacher eingehen: Die Annahme, dass es schneller ginge und man schneller auf den Stand der Technik käme, wenn man den Datenschutz und die Sicherheit bei der ITBeschaffung im Verfahren nach hinten schieben würde, ist leider ein Trugschluss. Das Gegenteil ist der Fall: Wenn man die Sicherheit und den Datenschutz von Anfang an mit bedenkt, gehen die Projekte sehr, sehr viel schneller durch, und man muss danach auch nicht über Jahre hinweg nachbessern und immer wieder neu daran herumfrickeln, sondern hat dann tatsächlich einmal eine vernünftige Lösung.
Es zeigt sich immer wieder: Dort, wo Behörden die Beratung der LDA annehmen, was glücklicherweise gerade im Bereich der Polizei der Fall ist - das haben beide Seiten geschildert, und sie haben die Zusammenarbeit gelobt -, sind solche guten, datenschutzgerechten Lösungen hinzubekommen.
Dann komme ich zum Schluss und verkneife mir den Hinweis darauf, dass wir als Landesgesetzgeber nichts an der Datenschutz-Folgenabschätzung, die in der DSGVO festgeschrieben ist, werden ändern können.
Ich komme direkt zum Dank an Frau Hartge, meine Damen und Herren - ich würde gerne noch auf viele weitere Teile des Berichts eingehen, aber die Redezeit ist zu Ende -: Meine Fraktion und ich danken Ihnen, Frau Hartge, und Ihrem ganzen Team dafür, dass Sie ganz genau hinsehen, dass Sie prüfen und unterstützen, aber eben auch den Finger in die Wunde legen. Vielen Dank für die tägliche Arbeit, die hinter diesem Bericht steht!
Sehr geehrter Herr Präsident! Sehr geehrte Abgeordnete! Sehr geehrte Frau Hartge! Auch der Bericht für 2022 hat gezeigt, wie wichtig das Amt der Landesdatenschutzbeauftragten ist. Deshalb herzlichen Dank für diesen Bericht, liebe Frau Hartge, auch an Ihre Mitarbeiterinnen und Mitarbeiter!
Die geprüften Fälle gehen quer durch alle Bereiche - von Microsoft-Onlinediensten über das Krebsregister, die Digitalisierung in den Kommunen, die Vertraulichkeit von Abstimmungen in den Kommunalvertretungen, die missbräuchliche Nutzung von privaten E-Mail-Adressen in Unternehmen, die Videoüberwachung durch private Hauseigentümer - auch in den öffentlichen Straßenraum hinein - bis hin zu einem missverständlichen bis irritierenden Formular zur elektronischen Beantragung eines Eintragungsscheins für das Volksbegehren „Volksinitiative zur Abschaffung der Erschließungsbeiträge für ‚Sandpisten‘“.
Die Unterschriftensammlung wurde den Initiatoren ja schon dadurch erschwert, dass es in der Zeit der Coronapandemie in vielen Rathäusern nahezu unmöglich war, spontan eine Unterschrift zur Unterstützung des Volksbegehrens zu leisten: Die Amtsstuben waren entweder geschlossen bzw. nur sehr eingeschränkt geöffnet oder eine Unterschriftsleistung war nur nach vorheriger Terminvereinbarung möglich. Wer nun einen Eintragungsschein für die schriftliche Abstimmung beantragen wollte, fand auf dem dafür vorgesehenen elektronischen Formular einen Hinweis, der stark irritieren musste und den einen oder anderen Unterstützer womöglich von der Beantragung abgehalten hat. Er lautete:
„Wir wollen Ihnen mit diesem Angebot einen Weg zu uns ersparen. Wir weisen Sie aber darauf hin, dass Ihre angegebenen Daten im Internet/über E-Mail unverschlüsselt übermittelt werden. Dem Datenschutz wird also insoweit keine Rechnung getragen.“
„Dieser Hinweis entfällt, wenn die Datenübertragungen durch geeignete Verschlüsselungs-Verfahren geschützt sind.“
Da sei die Frage gestattet: Wer liest schon Fußnoten, und welcher Laie kann schon beurteilen, ob seine Daten im Internet bzw. über E-Mail verschlüsselt oder unverschlüsselt übermittelt werden, ohne dass er zeitintensiv bei seinem Provider nachfragen muss? Ein Schelm, wer Böses dabei denkt!
Es gibt mehrere Gründe, warum das Volksbegehren die erforderliche Zahl der Unterschriften nicht erreicht hat; auch dieser Fall dürfte einer davon sein. Deshalb ist es gut, dass bei zukünftigen Volksbegehren das vom Landesabstimmungsleiter zur Verfügung gestellte Musterformular für die Beantragung eines Eintragungsscheins einen überarbeiteten Datenschutzhinweis entsprechend dem Formulierungsvorschlag der Landesdatenschutzbeauftragten enthalten wird.
Vielen Dank. - Als Letzter steht Herr Minister Stübgen auf der Rednerliste. Er spricht für die Landesregierung. Bitte sehr.