Datenschutzreport RLP: Gehackte Daten und ein abgetrennter Kopf

Seit Inkrafttreten der Datenschutz-Grundverordnung vor rund zwei Jahren sehen die Rheinland-Pfälzer genauer hin. Sie melden mehr Datenpannen und beschweren sich häufiger über Datenmissbrauch. Darunter ist auch Kurioses.

0
Foto: dpa-Archiv

MAINZ. Ein Wohnungsunternehmen will zu viel von seinen Mietern wissen. Ein Rechtsanwalt schickt dem falschen Handwerker einen Gerichtsvollzieher. Und eine Tankstelle überwacht seine Angestellten. Rund zwei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) steigen die Hinweise, Beschwerden, Nachfragen und Meldungen von Datenpannen in Rheinland-Pfalz noch immer. Nicht nur gehackte Kundendaten, sondern auch ein abgetrennter Kopf aus der Rechtsmedizin in einem alten Kühlschrank und der Missbrauch von Corona-Gästelisten spielen dabei eine Rolle, wie der Landesdatenschutzbeauftragte Dieter Kugelmann am Donnerstag in Mainz berichtete.

In den ersten acht Monaten dieses Jahres seien 388 Datenpannen registriert worden – und damit schon jetzt 69 mehr als im gesamten Vorjahr. Die Zahl der Beschwerden über tatsächliche oder mutmaßliche Verstöße «pendelt sich auf sehr hochem Niveau ein»: 772 waren es in den ersten acht Monaten 2020 nach 1005 im Vorjahr. Kugelmann sprach von «vielen kleinen Fehlern, aber auch dicken Fischen». 895 schriftliche Beratungen und Stellungnahmen verfasste der Landesdatenschutzbeauftragte 2019, in diesem Jahr waren es bereits 570. Die Zeit für telefonische Beratung habe etwas gekürzt werden müssen. Ein Überblick:

– Seit Inkrafttreten der Corona-Kontakterfassung – auch außerhalb der Gastronomie – seien rund 40 Beschwerden und Hinweise auf Datenschutzverstöße bei der Behörde gemeldet worden, zudem sind 55 Anfragen eingegangen. Rund 30 rechtliche Hinweise wurden verschickt, vor allem an Restaurants, sagte Kugelmann. Eine 16-Jährige, die mit einer Freundin in Mainz das Restaurant einer bundesweiten Kette besuchte und währenddessen von einem Unbekannten eine Nachricht über ihr Handy bekam, nannte Kugelmann als Beispiel. Als sich die Jugendliche beim Empfang beschwerte, sei ihr geraten worden, das nächste Mal einen falschen Namen und eine falsche Telefonnummer zu nennen. Wie sicher die Corona-App des Gaststättenverbands Dehoga sei, werde noch geprüft.

– Eine gravierende Datenpanne war ein Hackerangriff auf die Technischen Werke Ludwigshafen (TWL) im April. Kriminelle hätten die Daten von 150 000 Kunden und 1300 Beschäftigten aus internen Systemen gestohlen. Die Hacker hatten versucht, damit die TWL zu erpressen – allerdings vergeblich. Ein Teil der Daten tauche jetzt aber im Darknet auf und manche Betroffenen bekämen noch immer fragwürdige Mails. Geprüft werde noch, ob die TWL – wie vorgeschrieben – ihre Kunden «unverzüglich» davon unterrichtet hätten.

– Ein mit 8000 Euro vergleichsweise hohes Bußgeld wurde gegen einen Rechtsanwalt aus der Pfalz verhängt, der aufgrund einer Namensgleichheit einen falschen Handwerker als Schuldner beschuldigt und damit geschädigt hatte. Der Anwalt erwirkte mit Hilfe eines Gerichtsvollziehers ein Zahlungsverbot gegenüber einem Ehepaar, bei dem der zu unrecht beschuldigte Handwerker gerade arbeitete. Der Anwalt habe grob fahrlässig gehandelt, sagte Kugelmann.

– Das höchste Bußgeld (105 000 Euro) musste die Mainzer Universitätsklinik wegen strukturellen Defiziten beim Patientenmanagement bezahlen. Seit Inkrafttreten der DSGVO bis zum Mai seien insgesamt Bußgelder von rund 155 000 Euro verhängt worden.

– Die umfangreiche Videoüberwachung einer Tankstelle an einer Bundesstraße in Koblenz wurde eingeschränkt, weil die Angestellten damit sehr weit kontrolliert werden konnten, etwa an der Kasse. Zudem wurden die Zufahrtsstraßen mit erfasst. Der Hinweispflicht auf die Videokameras sei der Tankstellenbetreiber inzwischen auch nachgekommen.

– Das Immobilienunternehmen GAG in Ludwigshafen habe von einer langjährigen Mieterin zu viel wissen wollen, als diese in eine größere Wohnung umziehen wollte, sagte Kugelmann. Dazu gehörten die Nationalität sowie Verwandschafts- und detaillierte Vermögensverhältnisse. Auch andere Vermieter und Makler wollten von Mietinteressenten oft zu früh zu viel wissen, kritisierte Kugelmann. Dazu seien in den vergangenen Jahren viele Beschwerden eingegangen. «Zum Zeitpunkt des Bekundens eines Mietinteresses ist es lediglich zulässig, Kontaktdaten zu erheben.»

– Der Fund eines Männerkopfes in einem alten Kühlschrank auf einem Entsorgungs- und Recyclingbetriebs im Kreis Mainz-Bingen im Juni dagegen war kein Fall für den Landesdatenschutzbeauftragten, sondern für die Polizei. Der Kopf steckte in einem Glasbehälter, mit dabei ein Sektionsprotokoll der Rechtsmedizin aus dem Jahr 2015. Der Kopf, ein älteres Asservat, und das Protokoll wurden vom Institut abgeholt und untersucht. Die Protokoll-Notiz habe aber nicht zu dem Kopf gepasst, die Herkunft des Kopfes sei nach wie vor unklar. «Soweit ich weiß, ermittelt die Polizei», sagte Kugelmann. Die DSGVO jedenfalls greift bei Verstorbenen normalerweise nicht.

Vorheriger ArtikelNeuer Service des A.R.T. – Leerungsdaten jetzt online abrufbar
Nächster ArtikelÜberblick: Wer kann sich wann, warum und wo auf das Coronavirus testen lassen?

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Die Redaktion behält sich vor, Lesermeinungen zu kürzen. Es besteht kein Anspruch auf die Veröffentlichung Ihrer zugesandten Meinungen. Klarname ist nicht erforderlich. Eine E-Mail-Adresse muss angegeben werden, wird aber nicht veröffentlicht.