25.03.2025

Neuer Bericht zum Datenschutz in Sachsen

Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert hat am Dienstag in Dresden ihren »Tätigkeitsbericht Datenschutz 2024« an Landtagspräsident Alexander Dierks überreicht.

Der Bericht ist über 200 Seiten stark. Er enthält aktuelle Fälle, Statistiken und Hinweise zum Grundrecht auf informationelle Selbstbestimmung.

Dr. Juliane Hundert: »Unsere Demokratie, unsere freiheitlichen Werte und damit auch der Datenschutz stehen aktuell unter erheblichen Druck. Für den Schutz der Privatsphäre einzustehen, ist daher eine wichtige Aufgabe – für die Menschen und für die Demokratie. Dabei geht es auch darum, die Zukunft zu gestalten. Die heute verarbeiteten personenbezogenen Daten werden vielleicht morgen schon für andere Zwecke verwendet, mit unüberschaubaren Folgen für die betroffenen Personen. Deshalb kommt dem Datenschutz in unserer Informationsgesellschaft eine so immense Bedeutung zu. Er ist nicht nur eine tragende Säule unserer Freiheit, sondern zugleich ein Erfolgsfaktor für die breite gesellschaftliche Akzeptanz moderner Onlinedienste und neuer Technologien wie der Künstlichen Intelligenz. Beides waren Schwerpunkte meiner Aufsichtstätigkeit im vergangenen Jahr.«

Datenschutz 2024 in Zahlen

Im Berichtszeitraum gingen bei der SDTB rund 1.260 Beschwerden und Kontrollanregungen zu potenziellen Datenschutzverstößen ein. Das Aufkommen stieg um 8 Prozent gegenüber dem Vorjahr und betraf sowohl öffentliche als auch privatwirtschaftliche Stellen (S. 137 f.).

Einen neuen Höchststand registrierte Dr. Juliane Hundert bei den Meldungen von Datenpannen: 2024 waren es erstmalig über 1.000. Zu den häufigsten Datenpannen gehörten der Fehlversand und der Verlust von postalischen Unterlagen, der offene E-Mail-Verteiler, das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl und das Abgreifen personenbezogener Daten durch Cyberkriminalität (S. 122 ff.).

Einen Zuwachs verzeichnete die SDTB auch bei den schriftlichen Beratungsanfragen (740). 2023 waren es noch knapp 600 Vorgänge (S. 138). »Oftmals wenden sich betriebliche und behördliche Datenschutzbeauftragte mit ihren Fragen an mich. Somit erfahre ich aus erster Hand, welche Themen die sächsische Wirtschaft und Verwaltung derzeit beschäftigen. Meine Beratungstätigkeit und die entsprechenden Informationen tragen wesentlich dazu bei, dass Datenverarbeitungen rechtskonform gestaltet werden«, betont Sachsens Datenschutzbeauftragte.

Im weiteren Sinne erstreckt sich die Beratungstätigkeit auch auf Rechtsetzungsvorhaben, zu denen die SDTB im Berichtszeitraum 12 Stellungnahmen zu Gesetzes- und Verordnungsentwürfen abgab, beispielsweise zum Gesetz zur klinischen und epidemiologischen Krebsregistrierung im Freistaat Sachsen oder die Neufassung des Sächsischen Verfassungsschutzgesetzes (S. 143 f.).

Vergangenes Jahr hat die SDTB im nichtöffentlichen Bereich in 18 Verfahren 19 Bußgelder erlassen. Die Gesamtsumme betrug 199.000 Euro. Darunter waren erstmals Bußgelder gegen juristische Personen (S. 159 ff.).

Im öffentlichen Bereich wurden im zurückliegenden Jahr 11 Verfahren mit einem Bußgeld abgeschlossen. Die Summe festgesetzter Buß- und Verwarnungsgelder belief sich hier auf 14.580 Euro (S. 154 ff.).

KI in Schulen (S. 36 f.) und der Verwaltung (S. 34 f.)

Wie gut Künstliche Intelligenz und Datenschutz zusammenpassen, belegt das Projekt des digitalen Assistenten KAI. Mit dem KI-Werkzeug können Lehrkräfte in Sachsen sowohl Texte als auch Grafiken erstellen, zum Beispiel Aufgaben und Bilder für Arbeitsblätter. Das Tool nutzt Schnittstellen zu Anbietern von generativer KI, ohne dabei die eingegebenen Daten für das weitere Training der KI-Modelle zu verwenden. Zudem lassen sich die Daten einzelnen Personen nicht zuordnen.

Die Entwicklung von KAI hat die SDTB begleitet. Weiterhin unterstützte sie die Erarbeitung einer datenschutzkonformen KI-Richtlinie für die sächsische Verwaltung.

Besserer Datenschutz auf sächsischen Websites (S. 37 ff.)

Um einen Überblick über den aktuellen Stand des Datenschutzes auf sächsischen Websites zu bekommen, hat die Datenschutzbeauftragte über 30.000 Internetauftritte einem Monitoring unterzogen. Im Fokus standen dabei vor allem die Datenverbindungen zu Drittanbietern sowie Cookies, mit denen Website-Besucherinnen und -Besucher seitenübergreifend verfolgt werden können. Die Auswertung ergab, dass vor allem der Webanalyse-Dienst Google Analytics häufig rechtswidrig eingebunden war. Wer mit diesem Tracking-Werkzeug auf seiner Website das Nutzerverhalten überwachen möchte, benötigt von den Besucherinnen und Besuchern der Seite zuvor eine freiwillige und eindeutige Einwilligung. In etwa 2.300 Fällen waren Betreiberinnen und Betreiber von Webauftritten dieser Pflicht nicht in ausreichender Form nachgekommen.

Eine spätere Nachuntersuchung zeigte einen Rückgang der rechtswidrigen Datenverarbeitung bei 1.500 Onlineauftritten (65 Prozent). Zudem hatten viele Verantwortliche ebenso bei anderen einwilligungsbedürftigen Verbindungen und Cookies nachgebessert.

»Der Erfolg dieser ersten Massenprüfung und die damit einhergehende deutliche Verbesserung des Datenschutzniveaus haben mich darin bestärkt, in regelmäßigen Abständen weitere Kontrollen durchzuführen«, kündigt Dr. Juliane Hundert an.

Mit Datenschutz im Internet befasste sich die Aufsichtsbehörde 2024 auch in vielen weiteren Verfahren. So hatte beispielsweise ein Autohändler 18 Tracking-Elemente rechtswidrig auf einer Internetplattform eingebunden. Das verwaltungsrechtliche Verfahren endete mit einer Verwarnung (S. 109 ff.). In einem anderen Fall speicherte ein Onlinelieferdienst für Essen das Passwort eines Kunden unverschlüsselt – ein Datenschutzverstoß (S. 113 f.).

Automatisierte Gesichtserkennung in Strafverfahren (S. 26 ff.)

Aufgrund des tiefen Eingriffs in die Grundrechte von Bürgerinnen und Bürgern hat sich Sachsens Datenschutzbeauftragte intensiv mit dem Personen-Identifikations-System PerIS beschäftigt. Es ermöglicht der sächsischen Polizei einen biometrischen Liveabgleich der Aufnahmen mit Referenzbildern.

Dr. Juliane Hundert erklärt: »Für den automatisierten biometrischen Abgleich von Personenbildern aus dem öffentlichen Raum mit Referenzbildern in Echtzeit gibt es mit Inkrafttreten der europäischen KI-Verordnung keine Rechtsgrundlage. Aber auch für biometrische Abgleiche von einer Vielzahl im öffentlichen Raum erfasster Personenaufnahmen ohne Echtzeit bedarf es einer normenklaren gesetzlichen Grundlage, die grundrechtsschonende Vorgaben enthält. Aktuell gibt es eine solche Rechtsgrundlage in der Strafprozessordnung nicht.«

Datenschutzfragen im Zusammenhang mit der Arbeit des 2. Untersuchungsausschusses des 7. Sächsischen Landtags (S. 149 ff.)

Der 2. Untersuchungsausschuss des 7. Sächsischen Landtags, der sich mit der Förderpraxis integrativer Maßnahmen beschäftigte, forderte auch personenbezogene Daten von Beschäftigten in den geförderten Projekten an. Die Unterlagen enthielten Angaben zu Beruf, Ausbildung und Familie. Sie waren bei der Sächsischen Aufbaubank und dem Sächsischen Staatsministerium für Soziales und Gesellschaftlichen Zusammenhalt gespeichert.

»Ich habe die Behörden, aber auch die Petenten, darauf hingewiesen, dass dem Untersuchungsausschuss Dokumente zu übersenden sind, sofern sichergestellt ist, dass hochsensible Daten über den Untersuchungsausschuss nicht an die Öffentlichkeit geraten. Weiterhin habe ich darauf aufmerksam gemacht, dass die Übermittlung der Unterlagen vom Untersuchungs- und Beweisantrag gedeckt sein muss und keine Daten enthalten sein dürfen, die den Kernbereich der privaten Lebensgestaltung betreffen.«

Mit Blick auf den 1. Untersuchungsausschuss der 8. Legislaturperiode (Corona) hat die SDTB diese Hinweise an alle Ressorts erneut übermittelt. Dr. Juliane Hundert: »Da ich Kenntnis davon erhalten habe, dass in den Unterlagen, die der Untersuchungsausschuss angefordert hat, auch Tausende von Bürgeranfragen enthalten sind, die viele Krankheitsbilder und persönlichste Gesundheitsdaten enthalten, habe ich den Untersuchungsausschuss gebeten, von einer Anforderung dieser Bürgeranfragen abzusehen. Gleichwohl habe ich ihm nicht das Recht abgesprochen, diese Unterlagen anzufordern. Der Untersuchungsauftrag dürfte sich allerdings auch ohne diese Bürgeranliegen erfüllen lassen. Die Bürgerinnen und Bürger, die sich mit ihren Nöten in der Coronazeit an die Behörden gewandt haben, rechneten sicher nicht damit, dass ihre Daten auch Gegenstand eines Untersuchungsausschusses werden.«

Großes Themenspektrum im Berichtszeitraum

Im Tätigkeitsbericht Datenschutz 2024 sind etliche weitere Datenschutzfälle nachzulesen, beispielsweise über ein Ordnungsamt, das rechtwidrig »Elterntaxis« vor einer Schule fotografierte (S. 188 ff.) Weiterhin befasste sich die SDTB unter anderem mit der Abforderung einer Ausweiskopie bei Untervermietung (S. 51 ff.), der elektronischen Arbeitsunfähigkeitsbescheinigung (S. 54 ff.), dem Informations- und Akteneinsichtsrecht von Gemeinde- und Stadträten (S. 83 ff.) und der Onlinewache der Polizei Sachsen (S. 183 ff.).

Bezug des Tätigkeitsberichts Datenschutz 2024

Der Bericht kann über den zentralen Broschürenversand des Freistaates Sachsen heruntergeladen und kostenfrei als Printexemplar bestellt werden: publikationen.sachsen.de

Tätigkeitsbericht 2024 (*.pdf, 4,77 MB)

Telefon:	+49 351 85471-101
Telefax:	+49 351 85471-109
E-Mail:	post@sdtb.sachsen.de

Der Freistaat Sachsen