• Anzahl der Beschwerden auf hohem Niveau
• Datenschützer kritisieren lasches IT-Konzept in Potsdam
• Datenschutzbeauftragte Hartge spricht von "bedrückendem Vorfall" im Zusammenhang mit schwerbehinderten Menschen

Potsdam hätte es besser wissen können. Schon im Januar 2020 war die Stadtverwaltung Ziel eines Hackerangriffes geworden. Monatelang konnten die Bewohner der Stadt gar nicht oder nur sehr eingeschränkt auf Dienstleistungen zurückgreifen. Fast drei Jahre später schlugen Sicherheitsbehörden erneut Alarm: Die Landeshauptstadt könnte Ziel eines IT-Angriffes werden. Kurzentschlossen entschied Oberbürgermeister Mike Schubert (SPD), den Stecker zu ziehen und die Stadtverwaltung vom Netz zu nehmen - mit allen Einschränkungen für die Potsdamerinnen und Potsdamer.

Die Stadt hatte immer wieder beteuert, schon aus dem ersten Angriff gelernt und in den Schutz der IT investiert zu haben. Die Datenschutzbehörde des Landes hat sich nun genauer angeschaut, welche Maßnahmen ergriffen wurden und wie gut Potsdam tatsächlich gerüstet ist. Es ist ein eher verheerendes Zeugnis, das sie ausstellt.

Die Situation, die man dort vorgefunden habe, sei "nicht wesentlich besser als vor drei Jahren", so Thomas Reinke, Mitarbeiter der Datenschutzbehörde. Es gäbe keine vollständige Übersicht über Bearbeitungsverfahren, die IT-Sicherheitsmaßnahmen seien nicht ausreichend dokumentiert, die Zuständigkeiten in der Stadtverwaltung seien nicht geklärt. Zwischenberichten habe man hinterherlaufen müssen.

Besonders gravierend sei, dass es keine Dokumentation der IT-Struktur gäbe. Im Falle eines Angriffes würde es damit umso aufwändiger, den IT-Betrieb wieder hochzufahren – verbunden mit langen Wartezeiten für die Bürgerinnen und Bürger. Nach der eingehenden Prüfung sprach die Datenschutzbehörde eine Verwarnung aus – die höchste Sanktionsstufe der Behörde.

Auch in einem anderen Fall rügen die Datenschützer die Verwaltung der Stadt Potsdam. So nutzte sie in etwa 120 Fällen Anträge auf Parkerleichterungen für schwerbehinderte Menschen, um gleichzeitig auch deren Fahrtauglichkeit zu prüfen. Ähnlich ging die Verwaltung beim Umtausch von Führerscheinen vor.

Für die Datenschutzbeauftragte Dagmar Hartge ein "bedrückender, besonders trauriger Vorgang" und ein "eindeutig rechtswidriges Verhalten". Dass jemand einen Schwerbehindertenausweis habe, sei kein Grund, seine Fahrtauglichkeit in Zweifel zu ziehen, so die Datenschutzbehörde. Man erwarte, dass die Stadt Konsequenzen ziehe. Die habe die Praxis zwar mittlerweile eingestellt, sei aber im Zuge der unzulässigen Prüfungen teils auf tatsächlich fahruntaugliche Personen aufmerksam geworden. Diese Vorgänge müssten nun rechtlich gesondert geprüft werden.

Andere Fälle von Datenmissbrauch betrafen zwar nicht so viele Bürger, zogen aber teils hohe Bußgelder nach sich. 10.000 Euro musste der Geschäftsführer eines Lebensmittelgeschäftes bezahlen, der über vier Wochen im Pausenraum eine Tabelle mit den Krankheitstagen der Beschäftigten aushängen ließ.

Auf der Liste fanden sich nicht nur die ungeschwärzten Namen der Mitarbeiter, sondern auch Hinweise darauf, ob die Mitarbeiterinnen und Mitarbeiter aufgrund eigener Erkrankungen oder aufgrund der Erkrankung eines Kindes zuhause bleiben mussten. Der Geschäftsführer habe in einer wirtschaftlich schwierigen Lage auf den hohen Krankenstand hinwirken wollen, heißt es im Bericht der Datenschützer. Die Schwärzung von Namen habe er "vergessen".

"Auffällig viele" Meldungen bei der Datenschutzbehörde habe es zu unbefugten Datenabfragen in Krankenhäusern gegeben. In zwei Fällen hätten sich Beschäftigte aus reiner Neugierde und ohne dienstlichen Grund für den Krankheitsverlauf von Kolleginnen interessiert und sich Zugriffe auf besonders geschützte Gesundheitsdaten verschafft: Arztbriefe, Laborergebnisse sowie Berichte über Behandlungen und Operationen. Eine Daten-Neugierde, die die Datenschützer auch in Einzelfällen bei der Polizei feststellten.

Im Fokus der Datenschützer war mehrfach auch die Landesregierung: So kritisierten sie Facebook-Auftritte ebenso wie Bestimmungen im Gesetz zur Verhinderung von Gewalt gegen Frauen und häuslicher Gewalt. Durch das Gesetz erhält die Polizei Befugnisse, potenzielle Opfer häuslicher Gewalt zu schützen, etwa durch eine elektronische Fußfessel für Gefährder.

Die Datenschützer kritisieren, dass diese Maßnahme nun auch auf bloße Verdachtsfälle hin ausgeweitet wird und nicht mehr – wie bislang – nur für verurteilte Straftäter gilt. Hier lasse sich keine solide Gefahrenprognose abgeben. „Ich halte es für unrealistisch anzunehmen, dass die elektronische Aufenthaltsüberwachung Gewalttaten gegen Frauen verhindert“, so Hartge.

Mit 1.336 Beschwerden, die im vergangenen Jahr bei der Datenschutzbehörde eingegangen sind, sei die Zahl der Fälle in etwa auf dem Vorjahresniveau geblieben, so Hartge. Die meisten Beschwerden (365) bezogen sich auf mutmaßlich unrechtmäßige Videoüberwachungen z.B. in Ferienwohnanlagen. Insgesamt 838 Kameras nahmen die Datenschützer bei ihren Prüfungen unter die Lupe.

Immer wieder bemängelt Hartge die fehlende Sensibilität und die unzureichende Datenschutzvorsorge von Kommunen. Oftmals fehlt es an geeignetem Personal und Beratung, um sich gegen Hackerangriffe zu wappnen. Nun registriert die 61-Jährige, die bereits seit 2005 oberste Datenschützerin Brandenburgs ist, selbst einen wachsenden Druck auf ihre Behörde. Die Arbeit werde komplexer und schwieriger, gleichzeitig seien mehrere ihrer Mitarbeiter gegangen, weil sie andernorts bessere Beschäftigungsbedingungen vorgefunden hätten. Andere seien in Elternzeit, Neubesetzungen langwierig. Die Besetzung von Stellen sei ein Problem, dem sich der öffentliche Dienst allgemein zu stellen habe. Tatsächlich ist nicht davon auszugehen, dass die Datenschutzbehörde weniger zu tun bekommen wird. Mit dem Einsatz von Künstlicher Intelligenz in Schulen, Unternehmen und Behörden kommt eine neue Herausforderung auf sie zu.

Sendung: Fritz, 22.04.2024, 17:11 Uhr