Datenschutz 2024:
Zwischen KI, Datenpannen und Videoüberwachung – Ein Rückblick
Das Jahr 2024 war für Datenschützer alles andere als ruhig. Zwischen Künstlicher Intelligenz, steigenden Beschwerdezahlen und der Einführung der elektronischen Patientenakte (ePA) gab es reichlich Diskussionsstoff. Hier ein Überblick über die wichtigsten Entwicklungen und Ereignisse, sowie verhängte Bußgelder:
Beschwerden und Datenpannen: Ein Rekordjahr
Die Zahl der Beschwerden über Datenschutzverstöße erreichte 2024 neue Höchststände. Allein beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gingen 1.628 Beschwerden ein – ein Anstieg von über 20 Prozent im Vergleich zum Vorjahr. Ein zentraler Auslöser war die Einführung der ePA, bei der viele Versicherte Bedenken hinsichtlich ihrer Daten äußerten.
Auch die Zahl der gemeldeten Datenpannen stieg: 602 Meldungen gingen beim ULD ein, von einfachen Fehlzusendungen bis hin zu groß angelegten IT-Angriffen. Besonders häufig betroffen waren kleine und mittlere Unternehmen, die oft nicht über ausreichende Sicherheitsmaßnahmen verfügten.
KI im Fokus: Chancen und Herausforderungen
Künstliche Intelligenz war im Datenschutz 2024 ein dominierendes Thema. Die Datenschutzkonferenz, bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, veröffentlichte ein Positionspapier zu Kriterien für souveräne Clouds und betonte die Notwendigkeit klarer gesetzlicher Regelungen für den Einsatz von KI, insbesondere im öffentlichen Sektor. Ziel ist es, Transparenz und Datenschutz zu gewährleisten.
Videoüberwachung: Ein Dauerbrenner
Die Videoüberwachung blieb ein Dauerbrenner im Datenschutz 2024. Mehr als jede fünfte Beschwerde beim ULD betraf dieses Thema. Häufig ging es um Nachbarschaftsstreitigkeiten, in denen Kameras auf private Grundstücke gerichtet waren. Die Datenschutzbehörden betonten, dass Videoüberwachung nicht generell unzulässig ist, jedoch klare Regeln eingehalten werden müssen.
Cookie Banner, OLG Köln Urteil zu Cookie-Bannern
Das Urteil betont die Notwendigkeit, dass Cookie-Banner so gestaltet sein müssen, dass Nutzer eine echte und informierte Wahl haben. Sowohl die Zustimmung als auch die Ablehnung von Cookies müssen gleichwertig und transparent angeboten werden. Irreführende Gestaltungen, die Nutzer zur Zustimmung drängen, sind unzulässig
Informationsfreiheit: Verzögerungen und Verweigerungen
Auch im Bereich der Informationsfreiheit gingen mehr Beschwerden und Anfragen ein. Die Landesbeauftragte für Informationszugang in Schleswig-Holstein musste im Jahr 2024 viermal Beanstandungen aussprechen, da Informationen an Antragsteller ohne ersichtlichen Grund nicht oder nur verzögert herausgegeben wurden. Die Behörden setzen sich für eine transparente Verwaltung ein und fordern eine proaktive Veröffentlichung von Informationen.
Bußgelder
Im Jahr 2024 wurden von europäischen Datenschutzbehörden zahlreiche Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Die Gründe reichten von unzureichenden Sicherheitsmaßnahmen bis hin zu unrechtmäßiger Datenverarbeitung. Hier sind einige der bedeutendsten Fälle:
LinkedIn Ireland – 310 Millionen Euro (Irland)
Geldstrafe in Höhe von 310 Millionen Euro für die Verarbeitung personenbezogener Daten von Nutzern für Verhaltensanalysen und zielgerichtete Werbung ohne ausreichende Transparenz und Rechtsgrundlage.
Uber – 290 Millionen Euro (Niederlande)
Uber Bußgeld in Höhe von 290 Millionen Euro für die Übertragung sensibler Daten europäischer Fahrer, darunter Standortdaten und Ausweisdokumente, ohne angemessene Schutzmaßnahmen an Server in den USA.
Meta Platforms Ireland Ltd. – 91 Millionen Euro (Irland)
Meta wurde Bußgeld in Höhe von 91 Millionen Euro belegt, für das Speichern von Nutzer-Passwörtern im Klartext.
Clearview AI – 30,5 Millionen Euro (Niederlande)
Clearview AI (USA) erhielt von der niederländischen Datenschutzbehörde ein Bußgeld in Höhe von 30,5 Millionen Euro für die Verarbeitung biometrischer Daten (Gesichtsdaten) von Bürgern der Niederlande, die Clearview AI aus öffentlich zugänglichen Bildern der Betroffenen ohne Einwilligung eingelesen hatte.
The Phone House S.L. – 6,5 Millionen Euro (Spanien)
The Phone House erhielt ein Bußgeld in Höhe von 6,5 Millionen Euro nach einem Ransomware-Angriff. Die Behörde stellte fest, dass unzureichende technische und organisatorische Maßnahmen (TOM) maßgeblich zu dem Vorfall beigetragen hatten.
Und was war in Deutschland los?
Factoring (Hamburg) – 900.000 €
Factoring Unternehmen (Hamburg) zahlte ein Bußgeld in Höhe von € 900.000 für das Nutzen von Kundendaten über die gesetzl. Aufbewahrungsfrist hinaus.
Bank (Berlin) – 300.000 €
Eine Bank in Berlin bekam ein in Höhe von 300.000 € aufgebrummt, weil sie einem Kunden keine nachvollziehbaren Auskünfte über die Gründe einer automatisierten Ablehnung eines Kreditkartenantrags erteilte. Dies verstieß gegen die Transparenzpflichten aus Art, 5 i.V.m. Art. 13, 14 DSGVO.
E-Commerce-Unternehmen – 525.000 €
Ein Unternehmen der Branche E-Commerce fing sich ein Bußgeld von 525.000 € für einen Interessenkonflikt, in dem der der Datenschutzbeauftragte des Unternehmens stand. Dies widersprach der Unabhängigkeitsregel der DSGVO.
Corona-Teststation – 52.500 €
Eine Corona-Teststation erhielt ein Bußgeld in Höhe von € 52.500 für den Impfstatus als Pflichtangabe in ihrem Anmeldeformular und das Vortragen einer Standard-Staatsangehörigkeit. Dies verstieß gegen die Grundsätze der Verarbeitung aus Art. 5 DSGVO.
Apotheke – 6.500 €
Eine Apotheke zahlte ein Bußgeld in Höhe von € 6.500, weil sie Unterlagen mit personenbezogenen Gesundheitsdaten in einem Müllsammelraum offen zugänglich lagerte. Auch überwachte sie die bedienenden Verkaufskräfte per Video. Dies verstieß gegen eine Vielzahl von Normen aus der DSGVO.
Friseurbetrieb – 2.000 €
Auch ein Friseurbetrieb erhielt ein Bußgeld in Höhe von € 2000,- für das Sammeln von Kundendaten ohne ausreichende Einwilligung.
Fazit aus dem Datenschutz 2024: Datenschutz bleibt dynamisch
Das Jahr 2024 zeigte deutlich, dass Datenschutz kein statisches Thema ist. Mit der fortschreitenden Digitalisierung, dem Einsatz von KI und neuen gesetzlichen Regelungen bleibt es spannend. Für Datenschützer bedeutet das: dranbleiben, informieren und mitgestalten.
Quellen:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Tätigkeitsbericht 2024
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), 29. Bericht 2024
Landesbeauftragter für Datenschutz Bremen, 7. Jahresbericht 2024