Der LfDI Mecklenburg-Vorpommern legt seinen Tätigkeitsbericht vor

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Heinz Müller, hat vergangene Woche den Tätigkeitsbericht seiner Behörde für das Jahr 2018 vorgelegt.

DS-GVO macht Arbeit

Die Anwendung der DS-GVO ab dem 25. Mai 2018 führte zu einer breiten Hysterie sowohl im öffentlichen als auch im privaten Sektor. Zwar war die DS-GVO bereits 2016 in ganz Europa in Kraft gesetzt worden. Die zweijährige Übergangszeit blieb jedoch laut Müller weitgehend ungenutzt. So konnte man im Mai 2018 den Eindruck gewinnen, das neue Recht sei über Nacht gekommen. Die Nachfrage nach Information, Schulung und Beratung explodierte geradezu. „Wir haben in zahlreichen Schulungen und Informationsveranstaltungen immer wieder klargestellt, welche Anforderungen wirklich neu sind und welche an bestehendes deutsches Recht anknüpfen, und dadurch zu einer Versachlichung der Debatte beigetragen“, sagt Müller rückblickend

Das Beschwerdeaufkommen beim Landesbeauftragten hat sich im Jahr 2018 gegenüber dem Vorjahr verdreifacht. Aber auch neben den zahlreichen Beschwerden ist die Arbeit der Behörde gewachsen. Durch die DS-GVO hat der Landesbeauftragte über 50 neue Aufgaben erhalten. Das stark gestiegene Arbeitsaufkommen muss die Behörde des Landesbeauftragten bisher mit einem unveränderten Personalbestand bewältigen. Im Januar 2018 wurden zwar fünf neue Stellen geschaffen. Die Zahl der Beschäftigten erhöhte sich dadurch jedoch nicht, weil lediglich fünf befristete Arbeitsverhältnisse in feste Arbeitsverhältnisse umgewandelt wurden. „Ich erwarte“, sagt Müller, „dass sich die kürzlich von der Landesregierung beschlossene Aussetzung des Personalkonzepts auch auf meine Behörde auswirkt.“

Datenschutz im Verein

Vor besondere Herausforderungen stellt die DS-GVO die Vereine. Vereinsvorstände sind größtenteils ehrenamtlich tätig und müssen sich seit Mai 2018 mit Fragen befassen wie: „Brauchen wir einen Datenschutzbeauftragten? Müssen wir von unseren Vereinsmitgliedern Einwilligungen einholen, um deren Daten im Verein verarbeiten zu dürfen?
Dürfen wir Fotos vom letzten Fußballturnier auf unsere Homepage stellen?“. Für die Vereine hat der Landesbeauftragte daher gemeinsam mit der Ehrenamtsstiftung einen Leitfaden entwickelt, der seit Oktober 2018 kostenlos beim Landesbeauftragten erhältlich ist.

Dauerthema: Sichere Kommunikation

Seit vielen Jahren weist der Landesbeauftragte darauf hin, dass E-Mails mit schutzbedürftigen Inhalten verschlüsselt werden sollen, denn eine E-Mail ist in Bezug auf die Sicherheit mit einer Postkarte zu vergleichen: Was man einer Postkarte nicht anvertrauen würde, sollte man auch nicht per unverschlüsselter E-Mail versenden. Dennoch werden E Mails auch mit sensiblen Daten noch sehr oft unverschlüsselt versendet. Dazu der LfDI: „Es ist keinesfalls immer kriminelle Energie erforderlich, um unberechtigt Zugang zu Inhalten unverschlüsselter E-Mails zu erhalten.“ Das zeigte ein beim Landesbeauftragten eingegangener Hinweis eines Bürgers. Dieser hatte eine offensichtlich nicht für ihn bestimmte E-Mail von einer öffentlichen Stelle des Landes erhalten. Der E-Mail lag als Anlage eine Liste von Personen mit deren Namen, Anschriften, Personalausweisnummern, Kfz-Kennzeichen und Hinweise auf deren Sicherheitsüberprüfungen durch die Bundespolizei bei. Der richtige Adressat der E-Mail war bis auf die Schreibweise eines Umlautes namensgleich mit dem falschen Empfänger. Die Absenderin hatte versehentlich die Schreibweise des falschen Empfängers gewählt, so dass dieser die E-Mail erhielt.

Der Landesbeauftragte hat zudem gegen das OLG Rostock eine Verwarnung ausgesprochen, weil dort die Datensicherheit bei der Nutzung des Telefax-Gerätes nicht eingehalten wurde. Eine Bürgerin hatte dem Landesbeauftragten mitgeteilt, dass in zwei Fällen irrtümlich Beschlüsse des OLG in Strafsachen anderer Personen auf ihrem Faxgerät angekommen waren. Es handelte sich um die vollständigen Beschlüsse in Strafvollstreckungsverfahren wegen Totschlags und anderer Delikte. Im Gegensatz zur Briefpost handelt es sich beim Telefax um eine Art offener Zustellung. Deshalb müssen bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung dieser Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden kann. Die Verantwortlichen sollten vor dem Versand von schutzwürdigen Daten mit dem Telefax-Dienst prüfen, ob diese Versandart wirklich erforderlich ist und nicht eine andere Versandart angemessener ist, so der LfDI aus Mecklenburg-Vorpommern.