Tätigkeitsbericht Sächsische Datenschutzbeauftragte – Lippmann: Kritischer Blick auf staatliches Handeln insbesondere im Bereich Datenschutz ist elementar

Redebeitrag des Abgeordneten Valentin Lippmann (BÜNDNISGRÜNE) zum Tätigkeitsbericht der Sächsischen Datenschutzbeauftragten: „Tätigkeitsbericht der Sächsischen Datenschutzbeauftragten, Berichtszeitraum: 1. Januar bis 31. Dezember 2021“ (Drs 7/9931)
62. Sitzung des 7. Sächsischen Landtags, Donnerstag, 15.12.2022, TOP 13

– Es gilt das gesprochene Wort –

Sehr geehrter Herr Präsident, sehr geehrte Sächsische Datenschutzbeauftragte,

auch das Jahr 2021 war entscheidend geprägt durch die Corona-Pandemie. Staat und Gesellschaft standen vor der Herausforderung, im Spannungsfeld von Gesundheitsschutz und Sicherung anderer Grundrechte einen verhältnismäßigen Umgang zu finden.

Dabei spielte gerade auch der Datenschutz eine herausgehobene Rolle. Der ehemalige Datenschutzbeauftragte Herr Schurig beschreibt in seinem Bericht, dass für ihn der Eindruck entstanden ist, dass die Suche nach datenschutzkonformen Lösungen in der Pandemie teilweise als Feigenblatt genutzt wurde, um tatsächlich dem politischen Druck nach Öffnungen nachzugeben. So zum Beispiel bei der Umsetzung von Modellprojekten ab März 2021. Es war – so resümiert auch er – selten der Datenschutz, der der Eindämmung der Pandemie entgegengestanden hat. Vielmehr werde dieses Grundrecht teilweise gern hochgehalten, um erhebliche Probleme bei der Bekämpfung der Pandemie zu überdecken.

Diese Einschätzung zeigt erneut die Bedeutung der unabhängigen Behörde. Der kritische Blick auf staatliches Handeln insbesondere im Bereich Datenschutz ist elementar für die Bewahrung und den fortwährenden Schutz dieses so fundamentalen Grundrechts. Wir danken Herrn Schurig und seinen Mitarbeiter*innen für ihre unermüdliche Arbeit in dieser herausfordernden Zeit.

Und wir danken der neuen Datenschutzbeauftragten, Frau Dr. Hundert, zunächst für die Erstellung des nun vorliegenden Berichts. Doch er zeigt, dass es weiterhin merkliche Defizite im Bereich des Datenschutzes gibt. Das gilt sowohl in Hinblick auf Rechtsgrundlagen als auch in Hinblick auf die Anwendungssicherheit bei staatlichen Institutionen – insbesondere bei sensiblen beziehungsweise besonderen personenbezogenen Daten. Ich möchte deswegen auf drei Fälle eingehen, die den Handlungs- und Fortbildungsbedarf in diesem Bereich besonders eindrücklich illustrieren.

Dies betrifft zunächst den Rückgriff auf die allgemeine Rechtsgrundlage zur Datenerhebung aus § 2 Absatz 1 Satz 1 des Sächsischen Datenschutzdurchführungsgesetzes. Die Befugnisse zur Datenübermittlung sind für gewöhnlich in den Spezialgesetzen normiert. Dies dient dem Schutz häufig besonders sensibler Daten beziehungsweise der Grundrechtsträger*innen. Wenn sich eine besondere Befugnis in dem Gesetz nicht findet, muss davon ausgegangen werden, dass der Gesetzgeber eine Datenübermittlung in dem einschlägigen Fall für nicht zulässig erachtet. Die Befugnisse sind also grundsätzlich als abschließend zu betrachten. Ein Rückgriff auf den sehr allgemein gehaltenen § 2 Absatz 1 Satz 1 sowie auf die §§ 3 fortfolgende Sächsisches Datenschutzdurchführungsgesetz kann nur in Ausnahmefällen rechtmäßig sein.

Diese recht allgemeinen Ausführungen werden an einem Beispiel aus dem Bericht illustriert: Die Strafverfolgungsbehörden und Gerichte wendeten sich nach Angabe eines Rettungszweckverbandes häufig an ebendiesen, um im strafrechtlichen Ermittlungsverfahren Auskunft über am Einsatz beteiligtes medizinisches Personal zu erlangen. Dieses sollte dann gegebenenfalls als Zeug*innen vernommen werden. In § 72 SächsBRKG, wo die Vorschriften für den Datenschutz geregelt sind, findet sich jedoch keinerlei Rechtsgrundlage zur Übermittlung der Daten zu diesem Zwecke. In der Stellungnahme der Staatsregierung zu dem Bericht stützte diese das Auskunftsverlangen daher auf § 2 Abs. 1 Sächsisches Datenschutzdurchführungsgesetz. Dass diese Information nicht zu tragen vermag, zeigt schon ein Blick in den § 72 Abs. 1 SächsBRKG, wonach personenbezogene Daten durch die zuständigen Aufgabenträger nur, im Sinne von ausschließlich, zu den enumerativ aufgezählten Zwecken oder anderen, durch besondere Vorschrift nach diesem Gesetz vorgesehenen Zwecken verarbeitet werden dürfen. Der Wortlaut des lex specialis schließt hier demnach bereits einen Rückgriff auf allgemeine Vorschriften aus.

Sehr geehrte Kolleginnen und Kollegen,
im öffentlichen Bereich zeigt sich überdies ein anderes erhebliches Problem. Die durch die Datenschutzbeauftragte registrierten unerlaubten Abfragen bzw. Verarbeitungen personenbezogener Daten traten zu 75 Prozent bei Bediensteten der Sächsischen Polizei auf. Schon im Bericht mahnt der ehemalige Sächsische Datenschutzbeauftragte an, dass selbst bloße Unkorrektheiten im Umgang mit personenbezogenen Daten durch öffentliche Stellen das Vertrauen der Allgemeinheit in die Zuverlässigkeit der Behörden empfindlich schädigen können. Diesen Befund möchte ich ausdrücklich unterstützen! Das gilt umso mehr für die Polizei. Daran ändert sich auch dadurch nichts, dass die Abfragen überwiegend privat motiviert waren. Bürger*innen müssen jederzeit darauf vertrauen können, dass Sicherheitsbehörden keinesfalls ohne entsprechende Befugnis auf persönliche Daten.

Als Reaktion darauf wurden die Bediensteten nach Auskunft der Staatsregierung im Juli 2022 durch einen Beitrag im Intranet der Polizei erneut sensibilisiert. Ein solches Vorgehen kann jedoch nicht genügen. Ich begrüße die erklärte Absicht der Staatsregierung, deshalb verstärkt anlassunabhängige Kontrollen durch den Gemeinsamen Datenschutzbeauftragten der Sächsischen Polizei durchführen zu lassen. In solchen Fällen schafft nur die Angst vorm Erwischtwerden die notwendige Sicherheit für die Daten der Bürgerinnen und Bürger.

Denn eins muss ganz klar sein: Datenschutz ist keine Nebensache. Unsere Verfassung normiert dieses Recht als Grundrecht ausdrücklich in Artikel 33, auch auf Bundesebene ist das Recht auf informationelle Selbstbestimmung seit knapp vierzig Jahren ein Abwehrrecht gegen einen übergriffigen Staat.

Und mit jeder technologischen Erneuerung muss die Sicherung dieses Grundrechts wieder gestärkt werden. Das zeigt eindrücklich der letzte Fall, den ich aus dem Bericht besonders hervorheben möchte: Die Nutzung eines Programmes zur Gesichtserkennung zur Strafverfolgung durch die Polizeidirektion Dresden.

Die automatisierte Gesichtserkennung generiert Daten zur eindeutigen Identifizierung einer natürlichen Person. Damit handelt es sich um besondere Kategorien personenbezogener Daten nach § 46 Nr. 14 c) Bundesdatenschutzgesetz. Diese dürfen gemäß § 48 Absatz 1 nur dann verarbeitet werden, wenn es zur Aufgabenerfüllung unbedingt notwendig ist. Hier attestiert der Bericht zwar, dass dieses Merkmal in dem geschilderten Fall vorliegt.

Trotzdem wird explizit darauf hingewiesen, dass es sich hierbei um eine Einzelfalleinschätzung handelt. Der Einsatz von Gesichtserkennungssoftware – und diese Ansicht des ehemaligen Datenschutzbeauftragten teile ich vollumfänglich – muss äußerst restriktiv gehandhabt werden und braucht in jedem Fall eine spezifische Rechtsgrundlage, die Einsatz und Verwendung in engen Schranken hält.

Auf keinen Fall darf es zu einer massenhaften Erhebung und gegebenenfalls sogar Verarbeitung dieser besonderen Kategorien personenbezogener Daten kommen – der Einsatz von Gesichtserkennungssoftware muss sich in einem engen rechtlichen Rahmen abspielen.

In seinem Grundsatzurteil von 1983 betonte das Bundesverfassungsgericht, dass das Recht auf informationelle Selbstbestimmung eines der grundlegenden Rechte der freiheitlichen Gesellschaft ist. Denn eine freie Entfaltung der Persönlichkeit ist dann nicht möglich, wenn sich Menschen nicht sicher sind, ob „abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden (…)“.

In Zeiten, in denen eine vollständige Überwachung technologisch nicht mehr bloß dystopisch, sondern realisierbar scheint, ist deswegen ein aufmerksamer Blick und ein klares Benennen von Missständen im Bereich Datenschutz unerlässlich, wie es durch die Datenschutzbeauftragen erfolgt. Ihre Unabhängigkeit sichert und fördert ein hohes Niveau beim Datenschutz im Freistaat Sachsen und ist unverzichtbar bei seiner Weiterentwicklung. Ich danke daher der Sächsischen Datenschutzbeauftragten und ihrem Team für ihre wichtige Arbeit und Ihnen für die Aufmerksamkeit.