2021 erreichten die Landesbeauftragte 2538 Beschwerden von betroffenen Personen und damit etwas mehr als im Jahr zuvor (2479). Sehr viel deutlicher stieg dagegen die Zahl der von datenverarbeitenden Stellen gemeldeten Datenschutzverletzungen - von 989 im Jahr 2020 auf nun 1673.
„Es war mir wegen dieser hohen Fallzahlen erneut nicht möglich, in angemessenem Umfang proaktiv zu handeln", sagt Barbara Thiel. „Wieder konnte ich beispielsweise nur wenige anlasslose Kontrollen durchführen. Auch die Art von Beratung, wie sie die Datenschutz-Grundverordnung zur Aufklärung, Sensibilisierung und Information vorsieht, konnte ich nur punktuell leisten. Ich weiß nicht, wie sich diese Situation entscheidend verändern soll, wenn meiner Behörde nicht endlich mehr Personal zugebilligt wird."
Schwerpunkte der Beschwerden waren unter anderem unzulässige Videoüberwachung, Verstöße gegen das Recht auf Auskunft, die Offenlegung von Daten gegenüber Dritten (z.B. die Übermittlung von Corona-Testergebnissen an falsche Personen), unzulässiges Tracking auf Webseiten oder unerwünschte E-Mail-Werbung.
Die Meldungen von Datenschutzverletzungen bezogen sich häufig unter anderem auf Sicherheitslücken von Microsoft Exchange Servern (sogenannter „Hafnium Hack"), auf den Verlust, Diebstahl oder Fehlversand von Daten sowie auf Cyber-Angriffe durch Phishing-Mails und Verschlüsselungstrojaner.
Höchstes Bußgeld über 200.000 Euro
Insgesamt erließ die LfD im vergangenen Jahr 42 Bußgeldbescheide über rund 270.000 Euro. Betroffen davon waren Verantwortliche aus den Bereichen medizinische Versorgung, Einzelhandel, Versandhandel und Tourismus sowie natürliche Personen und ein Verein. Bei den Verstößen handelte es sich unter anderem um die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage (vor allem Videoüberwachung), um unzureichende technische Schutzmaßnahmen, um die Nichtbeachtung behördlicher Anweisungen sowie um die Verarbeitung beruflicher Daten für private Zwecke. Das höchste Einzelbußgeld, das auch bereits rechtskräftig ist, betrug 200.000 Euro und wurde wegen der Videoüberwachung von Beschäftigten ohne Rechtsgrundlage festgesetzt.
Thiel verband die Vorstellung des Tätigkeitsberichts erneut mit einem Appell, den Datenschutz nicht pauschal zum Sündenbock für gescheiterte Vorhaben und verzögerte Prozesse zu machen. „Häufig wurde im vergangenen Jahr zum Beispiel rund um die öffentliche Diskussion zu den Corona-Maßnahmen vom angeblichen Super-Grundrecht Datenschutz gesprochen", so die Landesdatenschutzbeauftragte. „Dabei wurde doch das Recht auf informationelle Selbstbestimmung ebenso eingeschränkt wie andere Grundrechte, zum Beispiel durch die Kontaktdatenerfassung in Restaurants und anderen Einrichtungen. Die pauschale Behauptung vom Super-Grundrecht, vom Stolperstein Datenschutz muss endlich aufhören. Das Recht auf informationelle Selbstbestimmung ist kein Selbstzweck, sondern dient dem Schutz der Privatsphäre aller Bürgerinnen und Bürger."
Der vollständige Tätigkeitsbericht 2021 als PDF-Dokument.