Stellungnahme des Senats zum Bericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2021
Ich freue mich, dass ich hier im Haus begrüßen darf die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Frau Kamp. – Herzlich willkommen im Abgeordnetenhaus! Ich darf Ihnen sogleich das Wort erteilen.
Sehr geehrter Herr Präsident! Sehr geehrte Damen und Herren Abgeordnete! Ich freue mich über die Gelegenheit, anlässlich des Jahresberichts meiner Behörde aus dem Jahre 2021 heute vor Ihnen sprechen zu können. Der Berichtszeitraum liegt lange zurück, sogar deutlich vor meinem Amtsantritt Ende 2022. Die in dem Bericht angesprochenen Themen sind zwar teilweise nach wie vor aktuell, gleichwohl hat sich die Welt zwischenzeitlich weitergedreht. Mit der fortschreitenden digitalen Transformation geht einher, dass Systeme sogenannter künstlicher Intelligenz in den Alltag einziehen und die Automatisierung alle Lebensbereiche erreicht.
Die Europäische Kommission hat das wirtschaftliche Potenzial von Daten und deren Nutzen für die Allgemeinheit erkannt und verfolgt mit der Europäischen Datenstrategie das Ziel, die EU an die Spitze einer datengesteuerten Gesellschaft zu bringen. Private, unbeobachtete Bereiche bleiben aber Grundvoraussetzung für die freie Entfaltung der Persönlichkeit und für eine demokratische, freie und den Grundrechten verpflichtete Gesellschaft. Dies hat auch die Europäische Kommission erkannt und die Menschen und ihre Grundrechte in den Mittelpunkt ihrer Strategie gestellt. Der Datenschutz ist dabei ein wesentlicher Bestandteil. All den neuen Rechtsakten der Strategie ist gemein, dass die DatenschutzGrundverordnung im Wesentlichen unberührt bleiben soll, wenn überhaupt, werden Konkretisierungen bei den Rechtsgrundlagen geschaffen.
Der zentrale Rechtsakt der Digitalstrategie, die KIVerordnung über die diese Woche abgestimmt wird, nennt die Marktüberwachungsbehörden und die nationalen Datenschutzbehörden ständig in einem Atemzug. Die Aufgabenbereiche sind extrem stark verwoben. Der Schutz der Grundrechte erfordert dabei Aufklärung, risikoadäquate Schutzmechanismen und wirksame Kontrolle durch unabhängige Aufsichtsbehörden. Die föderale Aufsichtsstruktur sollte dabei nicht vorschnell aufgegeben werden, vielmehr braucht es ein nationales stringentes Gesamtkonzept, das auch die Fortentwicklung vorhandener Aufsichtsstrukturen in den Blick nimmt. Die Länder – und Berlin – sollten auf diese Debatten vorbereitet sein.
Ich stehe hier mit meiner Expertise als Leiterin der unabhängigen Aufsichtsbehörde für den Datenschutz bereit und freue mich über eine frühzeitige und enge Beteiligung bei diesen wichtigen Fragen der nationalen Umsetzung und der Entwicklung eines effektiven institutionellen Ordnungsrahmens.
Auch das Abgeordnetenhaus nutzt mit Parla ein neues KI-Tool zur Beantwortung von Anfragen zu Dokumenten im Abgeordnetenhaus. Im Jahresbericht 2021 haben wir bereits darauf hingewiesen, dass sich auch das Parlament an die DSGVO halten muss und eine eigene Aufsicht benötigt, die Datenverarbeitung unabhängig prüfen und beanstanden kann. Vor zwei Wochen hat sich der Europäische Gerichtshof in einem wegweisenden Urteil zu der Frage der Zuständigkeit bei Beschwerden zur Verarbeitung personenbezogener Daten im parlamentarischen Raum geäußert. Er kommt zu dem Ergebnis, dass für den Fall, dass der Mitgliedsstaat nur eine einzige Datenschutzaufsichtsbehörde eingerichtet hat, diese Behörde unmittelbar für die Beschwerden von Betroffenen in diesem Bereich zuständig ist. Für das Land Berlin ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit als einzige Datenschutzaufsichtsbehörde eingerichtet. Damit ist meiner Behörde nach den Feststellungen des EuGH unmittelbar die Zuständigkeit übertragen, auch über Beschwerden zur Verarbeitung personenbezogener Daten im parlamentarischen Raum zu befinden. Dies sieht übrigens auch Parla so. Auf meine Frage, wer denn den Datenschutz im Abgeordnetenhaus kontrolliert, antwortet Parla: „die Berliner Beauftragte für Datenschutz und Informationsfreiheit“.
Aber zurück zum ernsten Thema und zum EuGH. Meiner Behörde fallen damit Kontrollbefugnisse im Kernbereich parlamentarischer Tätigkeiten zu, die der verfassungsrechtlichen Struktur unseres Landes nicht entsprechen. Ich bitte Sie nun dringlich, sich nach mehr als fünf Jahren, in denen die DSGVO gilt, für die Einrichtung einer unabhängigen Kontrollstelle einzusetzen, die die Datenschutzaufsicht im Abgeordnetenhaus ausübt.
[Beifall bei den GRÜNEN – Vereinzelter Beifall bei der LINKEN – Beifall von Melanie Kühnemann-Grunow (SPD)]
Im Bereich der IT-Sicherheit waren 2021 RansomwareAngriffe ein großes Thema. Universitäten, Gerichte und kleinere und mittlere Unternehmen wurden Opfer von Ransomware-Schadprogrammen. Professionelle Kriminelle infiltrierten dabei die Informationstechnik von Unternehmen und Behörden, um Geld zu erpressen. Nach einem erfolgreichen Angriff dauert es mitunter Monate, bis die angegriffene Stelle wieder ihre volle Arbeitsfähigkeit hergestellt hat. Oftmals werden bei den Angriffen auch personenbezogene Daten heruntergeladen. Die Kriminellen drohen mit der Veröffentlichung der Daten, und nicht selten gelangen diese im Zuge des Angriffs tatsächlich an die Öffentlichkeit mit der Folge eines vollkommenen Kontrollverlusts für die Betroffenen.
Unternehmen und öffentliche Stellen müssen in die Sicherheit ihrer Systeme investieren und sicherstellen, dass die eingesetzte Software immer auf dem neuesten Stand ist und bekannte Sicherheitslücken beseitigt werden. Sie tragen die Verantwortung für die Sicherheit der personenbezogenen Daten ihrer Kundinnen und Kunden und der Menschen in dieser Stadt.
2021 war in Berlin auch das Jahr der Wahlen. Wahlwerbung ist ein Thema, das uns damals besonders beschäftigte und im Hinblick auf die diesjährige Europawahl an Aktualität nicht verloren hat. Wichtig ist, dass die Empfängerinnen und Empfänger der Wahlwerbung eindeutig erkennen können, wer für die Datenverarbeitung verantwortlich ist. Dies war 2021 nicht immer der Fall.
Uns beschäftigen aber auch sehr viele Fälle der Parteienwerbung im Internet, die insbesondere über die Nutzung der Werbemechanismen großer Plattformen und über Social-Media-Kanäle besondere Reichweite erzielen sollen. Dabei spielt die zielgerichtete Adressierung von Wahlwerbung mithilfe von Targeting und Amplifizierungstechnologien eine immer bedeutendere Rolle. Gerade auf Onlineplattformen, deren Nutzung zum Alltag der meisten Menschen gehört, können Nutzerinnen und Nutzer besonders leicht auf ihre Empfänglichkeit für bestimmte Inhalte analysiert und entsprechend effektiv erreicht werden, selbst wenn der Nachweis der Manipulation häufig schwierig zu erbringen ist. Allein die Gefahr der weiteren Fragmentierung von Debatten im Internet, der Verstärkung und Polarisierung und die Gefahr des Ausspielens sich widersprechender Botschaften an unterschiedliche Wählergruppen ist zu vermeiden. Die freie Informationsbeschaffung im Netz als elementare Grundlage für eine freie politische Willensbildung steht auf dem Spiel.
Ich begrüße daher sehr, dass die Europäische Union mit der Verordnung über die Transparenz und das Targeting politischer Werbung der Manipulation und Desinformati
on entschieden entgegentreten und den Datenschutz stärken will. Zwar hätte die Verordnung beim Targeting noch schärfer ausfallen können, sie schafft aber zumindest dringend notwendige Transparenz. Onlinewahlwerbung muss in Zukunft gekennzeichnet werden, und Onlineplattformen müssen Auskunft über ausgewählte Targeting-Kriterien und die erreichten Zielgruppen geben und diese einschränken.
Transparenz wie im Transparenzgesetz spielt natürlich auch schon im Jahresbericht 2021 eine Rolle. Das Vertrauen der Bürgerinnen und Bürger in die öffentliche Verwaltung ist maßgeblich abhängig von der Transparenz ihres Handelns. Dafür muss sich die Verwaltung weiter öffnen. Vor diesem Hintergrund hat sich meine Behörde bereits 2021 stark dafür eingesetzt, dass das veraltete Berliner Informationsfreiheitsgesetz modernisiert wird.
Ein Gesetzentwurf ist damals kurz vor Ende der Legislaturperiode gescheitert. Lassen Sie nicht wieder die Chance verstreichen, proaktive Veröffentlichungspflichten zu schaffen und das Informationsfreiheitsrecht zu modernisieren! Ich würde mich freuen, wenn Berlin zusätzlich zu einer Open-Data-Strategie auch eine umfassende Transparenzstrategie entwickelt, die nicht nur die wirtschaftliche Verwertung von Daten, sondern auch den Zugang zu Informationen für die Bürgerinnen und Bürger im Blick hat.
Meine Behörde ist nicht nur für Aufsicht und Kontrolle, sondern auch für Aufklärung und Information zuständig. Unser besonderes Augenmerk liegt dabei auf der Sensibilisierung von Kindern und Jugendlichen für das Recht auf informationelle Selbstbestimmung. Für großes Interesse sorgt unser Workshop „Datenschutz für Kinder“. Seit Neugestaltung des Workshops im Jahr 2021 ist die Nachfrage seitens der Berliner Grundschulen stark gestiegen. Darüber hinaus entwickeln wir unser digitales Angebot für Kinder kontinuierlich weiter. Mit unserer Webseite „data-kids.de“ stärken wir das Bewusstsein von Kindern für ihre Datenschutzrechte und unterstützen sie dabei, mit Medien kompetent umzugehen.
Abschließend möchte ich noch einmal auf meine Eingangsätze zurückkommen. Der Berichtszeitraum des Jahresberichts 2021 liegt lange zurück. Ich würde mir wünschen, dass unsere Jahresberichte zukünftig zeitnah nach der Stellungnahme des Senats im Parlament debattiert werden.
Dies würde den akuten und dringlichen Themen und der intensiven und umfangreichen Arbeit meiner Mitarbeiterinnen und Mitarbeiter gerecht werden. Für diese Arbeit möchte ich mich ganz herzlich bedanken. Mein großer Dank geht auch an Volker Brozio, der als stellvertretender Leiter der Berliner Beauftragten für Da
tenschutz und Informationsfreiheit die Dienststelle im Berichtszeitraum kommissarisch geleitet hat. – Vielen Dank für Ihre Aufmerksamkeit!
Vielen Dank, Frau Kamp! Dann steht den Fraktionen jetzt für die Beratung jeweils eine Redezeit von bis zu zehn Minuten zur Verfügung.
Sehr geehrter Herr Präsident! Meine sehr geehrten Damen und Herren! Wir begeben uns mal kurz in eine Zeitreise zurück in die Vergangenheit, in das Jahr 2021.
Die Stadt stand am Anfang des Jahres 2021 aufgrund des zweiten Coronalockdowns in vielen Bereichen still. Die Coronaimpfungen waren in vollem Gange. Berlins Senat bereitete sich höchst gewissenhaft auf die Megawahl mit Marathon im September 2021 vor.
Das eine war erfolgreich, wie die Pandemieentwicklung nach der Impfung zeigte, das andere hatte ein höchst peinliches juristisches Nachspiel.
Bevor ich in die Themenkomplexe des Berichts und der Stellungnahme des Senats einsteige, möchte ich der Beauftragten für Datenschutz und Informationsfreiheit und ihren Mitarbeiterinnen und Mitarbeitern für die Zusammenstellung des Berichts, dem Senat und dessen Mitarbeiterinnen und Mitarbeitern für die Kommentierung und jedem einzelnem Bürger und jeder einzelnen Bürgerin für die Einsendung von Datenschutzmeldungen danken.
[Beifall bei der CDU – Vereinzelter Beifall bei der LINKEN – Beifall von Melanie Kühnemann-Grunow (SPD)]
Da der Bericht nicht nur den Bereich Datenschutz, sondern auch Informationsfreiheit betrifft, will ich mit einigen Worten zum Thema Informationsfreiheit beginnen. Im Jahr 2021 feierte der Senat aus SPD, Grünen und Linken fünfjähriges Jubiläum. Dies war dann auch das fünfjährige Jubiläum der Nichtverabschiedung eines Transparenzgesetzes, wie wir es gerade gehört haben,
welches das Berliner Informationsfreiheitsgesetz von 1999 ersetzen sollte. Dabei hatte man sich das doch in den Koalitionsvertrag 2016 geschrieben. Die drei Koaliti
onspartner nutzten dieses Jubiläum, um sich eine neue Deadline zu setzen. Nun sollte es bis zum Jahresende 2022 verabschiedet sein, so zumindest der Koalitionsvertrag 2021. Der Blick in unsere Parlamentsunterlagen zeigt: Auch hier Fehlanzeige. – Man ließ sogar Experten zu einer Ausschussanhörung anreisen, die dann spontan abgesagt wurde. Das war beschämend und peinlich.
Ich bin sehr froh, dass die neue Koalition aus CDU und SPD in einem guten Austausch zu einem Transparenzgesetz steht. Wir werden das dann ruhig und sachorientiert beraten und verabschieden. Frau Kamp! Wir haben Ihre Kritik verstanden und werden an dieser Stelle auch liefern.
[Beifall bei der SPD – Vereinzelter Beifall bei den GRÜNEN – Tobias Schulze (LINKE): Ankündigungen hatten wir auch schon!]
In der Coronapandemie veränderte sich vieles, und dadurch wurden die Öffentlichkeit wie auch viele Stellen in der Verwaltung in sehr viel schnellerer Folge mit Datenschutzfragen konfrontiert, als dies ohne Pandemie der Fall gewesen wäre.
Nein! – Der Aufwand für die Datenschutzbeauftragte war nicht unerheblich, aber dennoch beriet man Verwaltung, Unternehmen und Bürger so gut wie es geht bei der Vielzahl der Probleme. Dafür auch noch mal einen großen Dank für die Arbeit!
Doch nun will ich einige Punkte im Detail erwähnen. Die Datenschutzbeauftragte kritisiert die Vergabe von Impfterminen. Der Senat hat diesen Komplex an einen externen Anbieter vergeben. Die Behörde kritisierte, dass die Eröffnung eines Nutzerkontos notwendig gewesen sei. Hier bin ich auf der Seite des Senats. Zum einen war dies notwendig, wenn man Impfunterlagen digital dort ablegen wollte, zum anderen gab es die Möglichkeit, Impftermine über eine Hotline zu vereinbaren, also ganz ohne diesen externen Anbieter. Die Eröffnung eines Nutzerkontos erleichterte neben anderen Apps die Nutzung von Zertifikaten zum 2G- oder 3G-Nachweis, ermöglichte aber auch die Übermittlung von Anamnesebögen vor der Impfung. Diese Lösung war pragmatisch und hat geholfen, schnell die Impfung in Gang zu bringen, aber auch den Nachweis beim Besuch von Veranstaltungen, Lokalen oder anderen gesellschaftlichen Orten zu erleichtern.
Auch bei der Impfeinladung für die priorisiert Impfberechtigten ging man pragmatisch vor und ließ die KV die Einladung im Auftrag der Senatsverwaltung verschicken. Hier gab es eine klare Auftragserteilung, die auch die
Datenverarbeitung einschloss. Dabei begrüße ich, dass man zügig eine Lösung gefunden hat, die diese besonders betroffenen Menschen schnell erreicht hat. Dies half, Tote zu verhindern.
Bei den Coronateststellen kam es zu vielen Beschwerden über Datenschutzverstöße. Entweder waren die Regeln nicht hinreichend bekannt oder wurden sogar ignoriert, es gab Testergebnisse an falsche E-Mail-Adressen, zu viele personenbezogene Daten, die abgefragt wurden, Abruf von Daten durch Dritte – die Verstöße waren vielfältig. Ich bin froh, dass die Datenschutzbeauftragte hier beratend tätig geworden ist.