MAINZ. Von Minikameras an Katzenhalsbändern über Bewerbungsunterlagen im Gebüsch bis hin zu Handy-Blitzern auf Autobahnen – den Datenschutzbeauftragten von Rheinland-Pfalz, Dieter Kugelmann, haben in den vergangenen Monaten sehr unterschiedliche Fälle von datenschutzrechtlichen Fragen, Pannen oder Verstößen beschäftigt.
Nach oben ging es mit der Zahl der Hackerangriffe, die zudem immer professioneller werden. Kugelmann ist auch Leiter einer Taskforce Künstliche Intelligenz (KI) aller deutschen Datenschutzbehörden. Diese hat einen Fragenkatalog an die ChatGPT-Entwicklerfirma OpenAI geschickt und will bis Ende des Jahres Ergebnisse einer Prüfung des Dienstes vorlegen.
OpenAI sei etwa gefragt worden, wo all die Daten, mit denen das Sprachmodell ChatGPT arbeite, herkommen und wie versucht werde, das Risiko von Datenschutzverstößen zu vermeiden, erklärte Kugelmann. Ein Problem sieht er auch beim Thema Jugendschutz. OpenAI habe bereits umfangreich geantwortet, daraus hätten sich aber neue Fragen ergeben. Der Datenschutz lerne von dem Blick in den «Maschinenraum» der KI. Transparenz und Erklärbarkeit von solchen KI-Systemen seien entscheidend dafür, um Freiheit zu schützen und Menschen zu ermöglichen, ihre Rechte gegenüber Betreibern wahrzunehmen.
Eine wachsende Gefahr sehen Kugelmann und seine Behörde in Hackerangriffen. Die Zahl der gemeldeten Fälle lag 2022 bei 715 nach 650 im Jahr davor. In diesem Jahr waren es demnach bisher 450. Früher hätten Täter eher mit herkömmlichen Methoden gearbeitet, Daten seien etwa durch einen Klick auf einen Link oder einen Anhang gefischt worden, erklärte Kevin Gröhl, Experte für Datenschutzverletzungen beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Mittlerweile machten sich Hacker Sicherheitslücken zunutze, die noch nicht mal Anbieter von Software bis dato kannten. Das seien sogenannte «Zero-Day»-Sicherheitslücken. Diese würden dann zwar schnell geschlossen, doch dann sei es oft schon zu spät.
Als ein konkretes Beispiel für einen Hackerangriff nannte Kugelmann eine Attacke auf die Hochschule Kaiserslautern im Juni dieses Jahres. Dabei seien große Mengen personenbezogener Daten erbeutet worden, darunter Krankenkassendaten oder Daten zu Schwerbehinderungen. Gröhl zufolge flossen rund 600 Gigabyte ab. Ein Teil sei im Darknet veröffentlicht worden. Ob es an der Hochschule Fehler beim Datenschutz-Management gegeben habe, dazu gebe es noch keine Erkenntnisse. Kugelmann beobachtete, dass vermehrt Bildungseinrichtungen in das Visier von Hackern geraten.
Auch in der heutigen digitalen Welt gebe es durch und durch analoge Datenschutzpannen, betonte Kugelmanns Stellvertreterin Daniela Franke. Im Februar 2023 wurde in einem Wald ein Müllsack mit Hunderten Briefen der Stadtwerke Speyer entdeckt, kurz darauf folgte der Fund von knapp 10.000 nicht zugestellten Briefen in einem privaten Kellerraum. Mit den Schreiben wollten die Stadtwerke Kunden über anstehende Preiserhöhungen informieren, den Versand sollte ein privater Dienstleister übernehmen – das lief aber gründlich schief.
Die datenschutzrechtlichen Folgen seien überschaubar gewesen, erzählte Franke. Gerade einmal vier Briefe seien geöffnet worden, für die Stadtwerke hatte es dagegen weitreichende Folgen. Die mussten ihre geplante Preiserhöhung zurücknehmen und den entstandenen wirtschaftlichen Schaden tragen. Eine bei dem privaten Dienstleister angestellte Person musste den Angaben zufolge ein Bußgeld zahlen, die Stadtwerke wechselten schließlich zur Deutschen Post.
In Andernach fand ein Spaziergang in einem Gebüsch Unterlagen aus einem Besetzungsverfahren für eine Stelle im öffentlichen Dienst. Die betroffene Behörde hatte bis dahin den Verlust der Unterlagen gar nicht bemerkt und konnte sich auch nicht erklären, wie das passieren konnte – auch das ging als klarer Verstoß gegen die Datenschutzgrundverordnung in die Statistik ein.
Ein kniffliges Thema bescherte Kugelmanns Behörde ein Anrufer, der von einer Kamera am Halsband der Katze eines Nachbars berichtete und dahinter Spionage vermutete. Wer in so einem Fall datenschutzrechtlich verantwortlich ist, sei nicht einfach zu sagen, betonte die Behörde. Es sei etwa fraglich, wieviel Einfluss der Halter auf das Bewegungsmuster der Katze habe. Die Überlegungen dazu seien im Theoretischen geblieben, weil der Anrufer keine offizielle Beschwerde erhob.
Im Blick des Landesdatenschutzbeauftragten sind auch die im Rahmen eines Pilotprojekts in Rheinland-Pfalz getesteten Handy-Blitzer. Dabei werden von einer Autobahnbrücke aus zunächst alle vorbeifahrenden Fahrzeuge per Video aufgenommen. Gespeichert werden die Bilder, wenn eine auf KI gestützte Auswertungssoftware ein Handy und eine typische Handhaltung für Handynutzung beim Fahrer oder der Fahrerin erkennt.
Trierer Handy-Blitzer noch ohne eindeutige Rechtsgrundlage
Das System nehme also zunächst alle Fahrer auch ohne konkreten Anlass auf, sagte Kugelmann. Das sei etwas anderes als ein normaler Blitzer, der erst fotografiere, wenn ein Tempoverstoß begangen werde. Für die Handy-Blitzer fehle bislang eine eindeutige Rechtsgrundlage. Das Innenministerium in Mainz teilte auf Anfrage mit, eine Novelle des Polizei- und Ordnungsbehördengesetzes solle noch in diesem Jahr vorgelegt werden. Kugelmann kündigte an, die Novelle kritisch begleiten zu wollen.
In Zukunft möchte Kugelmann mit seiner Behörde verstärkt in Datenschutzfragen beraten und unterstützen. Im Blick habe er Kommunen, die mit der Digitalisierung ihrer Verwaltung zu tun hätten, und auch die Biotechnologie-Startups. Für die seien Datenschutzfragen etwa bei der Entwicklung einer App sehr wichtig.