Wer im Urlaub ungestört sein möchte, sollte auch einen kurzen Blick auf möglicherweise installierte Kameras werfen. Denn wie der Landesbeauftragte für Datenschutz in Niedersachsen, Denis Lehmkemper, in seinem Tätigkeitsbericht für 2024 festhält, streamte eine frei zugängliche Webcam mit Schwenk- und Zoomfunktion einen FKK-Strand direkt ins Internet. So wurden aus den Urlaubern ahnungslose Hauptdarsteller in einem Livestream, der wohl für touristische Werbung gedacht war. Neben der Kleidung fehlte nämlich auch ein Hinweis auf die Videoüberwachung.

Der betroffene Strandabschnitt wurde mit einer schwenkbaren Webcam erfasst, die sogar über eine Zoom-Funktion verfügte: „Hierdurch waren Personen in ihrem Intimbereich betroffen“, heißt es im Bericht. Der Verantwortliche verpixelte den Strandabschnitt im Rahmen eines Verfahrens und musste „wegen der hohen Eingriffsintensität“ ein Bußgeld zahlen.

In einem weiteren Fall ging eine Beschwerde über Videoüberwachung in einem Sauna- und Spa-Bereich ein. Daraufhin stellte die Behörde nach eigenen Recherchen fest, „dass auf der Webseite des Unternehmens auch die Aufnahmen von zwei Webcams eingebunden waren“, von denen auf einer der Strandabschnitt und auf der anderen der innenliegende Poolbereich zu sehen war. Der Verantwortliche wollte die Videoüberwachung zunächst nicht datenschutzkonform ausgestalten. Erst nach „förmlicher“ Aufforderung der Behörde wurden die „rechtswidrigen Datenverarbeitungen“ eingestellt. Insgesamt handelte es sich dabei um Einzelfälle, jedoch sind laut Bericht mehr Beschwerden und Hinweise zu „touristischen Webcams“ eingegangen, woraufhin der LfD Niedersachsen ein Hinweisschreiben für die Gemeinden verfasst hat.

Videoüberwachung und Gesichtserkennung

Besonders oft gehen bei den Behörden Beschwerden zum Thema Videoüberwachung, „vor allem durch Privatpersonen […] aufgrund von großflächig aufzeichnenden Kameras in der Nachbarschaft“ ein. Beschäftigte meldeten sich zudem aufgrund „umfassender Kameraüberwachung von Verkaufs- und Aufenthaltsflächen“ bei der Datenschutzbehörde.

Als weiterer häufiger Beschwerdegrund ist im Bericht die unerwünschte Kontaktaufnahme genannt, „in der Regel zu Werbezwecken“. Diesen Grund nannten auch andere Datenschutzbehörden. Ebenfalls negativ fiel die unerlaubte Veröffentlichung personenbezogener Daten im Internet auf, was einen „erheblichen Eingriff in die Persönlichkeitsrechte der Betroffenen darstellt“.

Gesichtserkennungssysteme

Datenschützer warnen zudem vor dem zunehmenden Einsatz automatisierter biometrischer Gesichtserkennungssysteme im öffentlichen Raum, der regelmäßig von Vertretern aus Politik und Polizei gefordert wird. Dazu hatte die Datenschutzkonferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder Ende 2024 eine Orientierungshilfe veröffentlicht und Vorsicht bei deren Einsatz geboten (PDF).

Die Landesdatenschutzbeauftragte von Brandenburg hatte sich „umfangreich“ mit dem Einsatz der viel diskutierten Gesichtserkennungssoftware „PerlS“ durch die Polizei befasst, das die sächsische Polizei entwickeln ließ. In ihrer ersten Prüfung stuft Dagmar Hartge die Datenverarbeitung als „nicht verhältnismäßig ein: „Mich verwundert, dass die Ermittlungsbehörden für den Einsatz von PerIS auf nicht einschlägige Normen in der Strafprozessordnung zurückgreifen – ganz so, als hätte es den Skandal um das automatische Kennzeichenlesesystem (KESY) vor einigen Jahren nicht gegeben. Es liegt nahe, dass die für den Kennzeichenabgleich geltenden Bedenken erst recht für den besonders eingriffsintensiven Abgleich biometrischer Gesichtsbilder zum Tragen kommen.“

Abhängigkeit öffentlicher Stellen von martkbeherrschenden IT-Anbietern

Als weiteren Schwerpunkt nennt Lehmkemper die „zunehmende Abhängigkeit öffentlicher Stellen von wenigen, marktbeherrschenden IT-Anbietern“. Daher spricht er sich dafür aus, die „Wechselfähigkeit zwischen IT-Herstellern und Diensteanbietern“ zu stärken. Für die Interoperabilität fordert er offene Standards und Schnittstellen. „Die Abhängigkeit von hochintegrierten, proprietären IT-Ökosystemen kann zu einer Falle für den Datenschutz werden, wenn es im Bedarfsfall schier unmöglich wird, auf ein datenschutzfreundliches Angebot umzusteigen. Daher wird digitale Souveränität zu einer immer zentraleren Anforderung an die Digitalisierung“, betont Lehmkemper.

Künstliche Intelligenz im Fokus der Datenschutzbehörden

Alle Datenschützer, etwa die Landesbeauftragte für Datenschutz und Akteneinsicht in Brandenburg, Dagmar Hartge, beschäftigen sich zudem speziell mit dem Thema Künstliche Intelligenz – von Mitarbeiterüberwachung mit KI bis hin zu KI in Schulen. Für einen datenschutzkonformen Einsatz von KI hat Lehmkemper eine entsprechende Stabsstelle eingerichtet. Zudem betreut er das KI-Reallabor CRAI in Osnabrück, das KI-Software für den Mittelstand entwickelt. Die Ergebnisse dazu sollen im Herbst veröffentlicht werden.

In Schulen soll es mithilfe verschiedener Tutorensysteme eine „neue Form des individualisierten Lernens“ geben. Je nach Stärken und Schwächen erhalten die Kinder dabei Aufgaben. Dafür hat das Kultusministerium in Niedersachsen die Anwendung „Bettermarks“ für bessere Noten in Mathematik lizenziert, eine Anwendung des Westermann-Verlags, „OnlineDiagnose“ soll bessere Noten in Deutsch und Englisch bringen.

Mängel bei KI-Software in Schulen

Nach einer Prüfung der Datenschutzerklärungen hat der LfD Niedersachsen Mängel festgestellt, die beispielsweise die fehlende Transparenz bei der Datenverarbeitung betreffen. Demnach müssen die Schüler Informationen zum Datenschutz und zum Programmablauf und möglichen Auswirkungen erhalten. Außerdem müssen auch Eltern darüber informiert werden, dass individuelle Lernstandsprofile erstellt werden. Unzulässig ist es, dass diese zur Bewertung der Schüler herangezogen werden. Ein Löschkonzept war zudem nicht immer vorhanden oder klar geregelt. Wie bei anderer Software auch, liegt hier eine Auftragsdatenverarbeitung vor, weshalb die Schulen die Verantwortung für den Datenschutz tragen, nicht die Software-Anbieter. Der LfD erwartet, dass die Mängel zeitnah behoben werden.

Ferner stellt der Datenschutz in Schulen mit privat finanzierten Tablets eine Herausforderung dar, daher legt der LfD seit 2024 „einen besonderen Fokus auf Datenschutz- und Medienkompetenz bei Kindern und Jugendlichen – eine Antwort auf den zunehmenden Einfluss digitaler Medien und wachsende Cyberrisiken in Schulalltag und Privatleben.“

In der Kita-App „Stay Informed“ hatte es 2024 ein größeres Datenleck gegeben, das mehr als 11.000 Einrichtungen betraf. Für die abschließende Bewertung des Vorfalls wartet Lehmkemper noch auf die Auswertung des „umfangreichen“ forensischen Untersuchungsbericht des Unternehmens durch den Landesdatenschutzbeauftragten von Baden-Württemberg, Tobias Keber.

Anstieg der Beschwerden und gemeldeten Datenschutzstöße

Bisher hat sich zudem bei allen Datenschutzbehörden die Zahl der Beschwerden erhöht. 2024 gingen beim LfD Niedersachsen 2.361 Beschwerden ein, was einem Anstieg von 7 Prozent zum Vorjahr entspricht. Für den Anstieg der Datenschutzbeschwerden seit Inkrafttreten der DSGVO nennt der Landesdatenschutzbeauftragte Niedersachsen mehrere Gründe. Einerseits die zunehmende Digitalisierung vieler Lebensbereiche, andererseits das Wissen über Meldepflichten, „sechs Jahre nach Anwendbarkeit der DSGVO“. Ebenso hat auch die Zahl der Cyberangriffe zugenommen, in deren Folge es häufig zu Datenabflüssen kommt. Insgesamt hat der LfD Bußgelder in Höhe von 1,04 Millionen Euro erlassen.

(mack)