Nordrhein-Westfalen Datenschutzbericht offenbart oft illegalen Umgang mit Nutzerdaten
Zu viele Eingriffe in die Privatsphäre: NRW-Datenschutzbericht kritisiert Verfassungsschutzgesetz, aber auch die Wohnungsbaukonzern Vonovia und den Anbieter WetterOnline.
Beim Thema Datenschutz werden die Menschen in NRW offenbar immer hellhöriger. Das geht aus dem neuen Jahresbericht für NRW hervor, den die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI), Bettina Gayk, am Dienstag vorgestellt hat. Noch nie habe es derart viele Eingaben bei der Behörde gegeben, wie 2024.
Allein im vergangenen Jahr habe das LDI 12.490 Eingaben verzeichnet - ein Rekord. Seit der Einführung der Datenschutzgrundverordnung (DSGVO) 2018 habe sich die Zahl der Meldungen und Anfragen verdreifacht.
So hätten sich beispielsweise Mieter in Vonovia-Wohnungen an ihre Behörde gewandt: Dort waren smarte Rauchwarnmelder eingebaut worden, die über verschiedene Werte auch das Raumklima erfassen. "Darüber haben sich viele Mieter aufgeregt - zu Recht", sagte Gayk.
Die Behörde sei tätig geworden: "Inzwischen konnten wir mit dem Unternehmen klären, dass die Funktion nicht eingeschaltet werden darf, wenn die Wohnungsbesitzer keine Einwilligung dazu erteilt haben."
Datenschutzbericht: Spannende Lektüre mit vielen Beispielen
Der spannend zu lesende, 216 Seiten starke aktuelle Bericht enthält viele Beispiele dafür, wie Unternehmen teils rechtswidrig die Daten ihrer Kunden verkaufen oder benutzen.
In einem Fall wurden elf Versicherungsunternehmen in NRW identifziert, die rechtswidrig und illegal sensible Gesundheitsdaten ihrer Versicherten untereinander ausgetauscht hatten. "Man kam dort auf die Idee, möglichen Betrugsfällen in der Auslandsreisekrankenversicherung nachzuspüren und Betrugsmuster zu identifizieren - und dazu Kundendaten auszutauschen", heißt es im Bericht.
Gegen Eingriffe in die Persönlichkeitsrechte: LDI-Chefin Bettina Gayk
Diese Praxis habe die LDI NRW aufgedeckt und gestoppt, berichtete Gayk. Ebenso den heimlichen Einsatz einer Software in Call-Centern in NRW, die anhand von Sprachmelodie und Klang die Emotionen der anrufenden Kunden per KI erkennen soll, damit sich die Mitarbeiter besser darauf einstellen können. Die LDI kam zu dem Schluss, dass es sich dabei um einen "massiven und nicht gerechtfertigten Eingriff in die Persönlichkeitsrechte" handele.
WetterOnline hat illegal Nutzerdaten verkauft
Auch das in NRW ansässige Unternehmen WetterOnline konnte die Behörde bei einer illegalen Praxis erwischen: Ohne Einwilligung hatte der Anbieter genaue Standortdaten seiner Nutzer an Dritte weiterverkauft. Wenn eine Person sehr häufig an einem bestimmten Ort eingeloggt ist, lässt das vermuten, dass es sich um die Wohnadresse handelt.
Auf Nachfrage der Landesbehörde hatte die Firma diese Praxis zunächst bestritten. Eine Vor-Ort-Kontrolle habe dann aber schnell bestätigt, dass WetterOnline Standortdaten verkaufte, berichtete Gayk. Die Behörde prüfe nun noch, ob in dem Fall ein Bußgeld fällig sei.
Zu viele Rechte für Verfassungsschutz?
Video-Überwachung im öffentlichen Raum
Warnen wollte die Landesbeauftragte auch vor einem Abbau des Datenschutzes zugunsten neuer Sicherheitsgesetze. So will NRW-Innenminister Reul (CDU) dem Verfassungsschutz künftig auch Zugriff auf private Videoüberwachungsanlagen genehmigen. Das sieht Gayk kritisch: Täglich würden ohnehin Millionen Menschen von privater Videoüberwachung im ÖPNV oder an Tankstellen erfasst. "Wenn diese Menschen künftig hinter jeder privaten Kamera den mitbeobachtenden Verfassungsschutz vermuten müssen, ist das ein nicht gerechtfertigter massiver Eingriff in bürgerliche Freiheitsrechte.“
Das NRW-Gesetz sei ihr hier nicht klar genug umrissen, sagte Gayk. Ziel ihrer Behörde sei es, "die Macht des Staates dort zu begrenzen, wo er nicht das Recht hat, einzugreifen".
Zu viel Auskunftspflicht bei Jobs auf Großveranstaltungen
Als zu unscharf bezeichnet die Datenschutzbeauftragte auch die Rechtslage in NRW bei der Sicherheitsüberprüfung von Mitarbeitern auf Großveranstaltungen - von Würstchenverkäufern in Fußballstadien bis zum ehremamtlichen Helfer beim Musikfestival: Während alle anderen Bundesländer klar geregelt hätten, welche Selbstauskünfte Jobbewerber hier geben müssen und welche nicht, sei das in NRW ungeregelt.
Die Auskunftspflichten gehen der Datenschützerin meist zu weit. Es müsse klar definiert sein, was eine Großveranstaltung ist, "damit das nicht dem Gutdünken der örtlichen Polizei überlassen bleibt". Innenminister Herbert Reul (CDU) aber habe ihr mal gesagt, dass er eine solche Regelung "nicht für erforderlich halte".
Polizei sollte nicht über Whatsapp kommunizieren
Auch auf einen anderen Punkt habe ihre Behörde das Innenministeriums aufmerksam gemacht - bislang ohne Reaktion: Dass die Polizei intern meist über Whatsapp kommuniziere, sei ein Sicherheitsrisiko. "Das Kernproblem dabei ist, dass Whatsapp die Adressbücher seiner Nutzer ausliest."
Kritik richtete die Datenschutzbeauftragte an die Bundespolitik: Die plane, die Datenschutzaufsicht für Unternehmen bei der Bundesdatenschutzbeauftragten zu bündeln. Gayk hält das für wenig sinnvoll. Bislang waren in jedem Bundesland die jeweiligen Landesdatenschützerinnen für ihre Unternehmen zuständig. Eine Zentralisierung beim Bund sei "weder im Sinne der Bürger und Unternehmen noch im Interesse des Landes".
LDI "nicht wie die Axt im Walde"
Kein Unternehmen sei wie das andere, bislang berate die LDI alle Fälle individuell und handele "nicht wie die Axt im Walde". Mit einem Wechsel zu einer Bundesbehörde verlören die Unternehmen diese leicht zugängliche Beratung. "Was sie stattdessen bekommen würden: lange Wege, Anonymität und das Untergehen in der Masse."
Sie hoffe, sagte Gayk, dass die NRW-Landesregierung "nicht auf den Kurs des Bundes einschwenkt".
Quellen:
