2018 ist die Datenschutz-Grundverordnung der EU in Kraft getreten. Erklärtes Ziel ist der Schutz von Personen und ihren Daten. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz (LfDI), hat tagtäglich mit Datenschutzfällen zu tun.
SWR Aktuell Online hat ein paar besondere Anfragen und Fälle zusammengefasst, die Kugelmann in den vergangenen 18 Monaten beschäftigt haben.
Hacker-Angriff auf die Hochschule Kaiserslautern
Erst vor kurzer Zeit wurde die Hochschule Kaiserslautern Ziel eines Hackerangriffs. In der Nacht vom 7. auf den 8. Juni 2023 erbeuteten Angreifer umfassende Mengen personenbezogener Daten, die teils in sensible Kategorien fallen wie etwa Krankenkassendaten und Daten über Schwerbehinderungen.
Auch Ausweiskopien ausländischer Studierender waren in den Datenpaketen enthalten. Bald nach dem Angriff wurden die gestohlenen Daten im Darknet zum Kauf angeboten. 60 Prozent der Daten wurden tatsächlich veräußert, der Rest frei im Darknet veröffentlicht. Alle Studierenden und Mitarbeitenden der Hochschule - mehr als 7.000 Personen - waren potentiell von dem Datendiebstahl betroffen.
Fall in Kaiserslautern bemerkenswert
Der Fall sei wegen des Umfangs der gestohlenen Daten sowie des schlagkräftigen Vorgehens der Hacker-Gruppe bemerkenswert, so der LfDI. Das Präsidium der Hochschule Kaiserslautern hat den Hacker-Angriff innerhalb der gesetzlich vorgesehenen Frist von 72 Stunden an den LfDI gemeldet und steht seither mit der Behörde im Austausch. Seitdem läuft ein Prüfverfahren.
Kugelmann geht es unter anderem um die Frage, ob die Hochschule im Vorfeld des Angriffs die gesetzlichen Löschfristen beachtet hat oder ob sich unter dem Diebesgut auch solche Daten finden, die eigentlich schon hätten gelöscht sein müssen.
10.000 nicht zugestellte Briefe mit Gaspreiserhöhungen
In einem anderen Fall wurden die Stadtwerke Speyer im Februar 2023 mit einem ungewöhnlichen Fund konfrontiert: Mitarbeiter des Grünflächenamts hatten in einem Waldstück einen Müllsack entdeckt, der Hunderte Briefe enthielt. Absender auf allen Umschlägen: die Stadtwerke Speyer. Schnell stellte sich heraus, dass die Briefe Teil einer großen Versandaktion aus dem November des Vorjahres waren. Die Stadtwerke hatten damit ihre Strom- und Gaskunden über anstehende Preiserhöhungen unterrichten wollen und haben dafür einen privaten Dienstleister beauftragt.
Außerdem wurden viele Tausend weitere nicht zugestellte Briefe in einem privaten Kellerraum einer angestellten Person gefunden, erklärt der LfDI. Diese Person wollte die Zustellung der insgesamt knapp 10.000 Briefe mit Bekannten und Verwandten vornehmen.
Die Stadtwerke Speyer meldeten den Fall als Datenpanne beim LfDI, da sie befürchteten, dass personenbezogene Daten aus den Briefen von Dritten hätten eingesehen und missbraucht werden können. Ein Großteil der 10.000 Umschläge war noch ungeöffnet als sie sichergestellt wurden. Daher wurde das Risiko für die Stadtwerke-Kunden von Seiten des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als gering eingeschätzt.
Trotzdem hat der Fall spürbare Folgen: Da die Information über die bevorstehende Preiserhöhung die Kunden nie erreicht hatte, musste der Energieversorger die Preiserhöhung zurücknehmen. Die Person, die die Briefe im Keller eingelagert hatte, musste ein Bußgeld zahlen.
Handy-Blitzer auf rheinland-pfälzischen Autobahnen
In der zweiten Jahreshälfte 2022 wurde in Rheinland-Pfalz der Einsatz eines Kamerasystems, der "MonoCam“, erprobt. Das von künstlicher Intelligenz gestützte System soll erkennen, wenn Autofahrerinnen und Autofahrer am Steuer ein Smartphone benutzen und damit gegen die Straßenverkehrsordnung verstoßen. Der LfDI hat die Polizei vor dem Test-Einsatz der "Handy-Blitzer“ beraten.
Das rheinland-pfälzische Innenministerium bewertet den Einsatz der MonoCam nach Abschluss des Pilotprojekts mit mehr als 1.000 festgestellten Verstößen als deutlichen Erfolg. Außerdem geht das Innenministerium davon aus, dass der Einsatz in vielen Fällen präventiv wirke.
Thema bei Innenministerkonferenz Nach Tests in RLP: Handyblitzer für alle Bundesländer?
Auf der Innenministerkonferenz am Mittwoch sollen auch Handyblitzer Thema sein, denn Innenminister Ebling (SPD) will von den "positiven" Erfahrungen aus RLP berichten.
Vor einem möglichen regulären Einsatz der Technik auf rheinland-pfälzischen Autobahnen gibt der LfDI zu bedenken: Jede Technologie, die zur Überwachung und Erfassung persönlicher Informationen eingesetzt werde, sollte auf einer klaren und angemessenen gesetzlichen Grundlage basieren. Eine eindeutige Rechtsgrundlage aber fehle bislang. In den nächsten Monaten soll das Polizei- und Ordnungsbehördengesetz ergänzt werden.
Ist ChatGPT datenschutzkonform?
Zahlreiche datenschutzrechtliche Fragen stellen sich auch im Umgang mit ChatGPT und anderen KI-gestützten Diensten. Welche Daten werden für das Training des "intelligenten" Algorithmus herangezogen? Wie werden die besonders sensiblen Daten von Kindern geschützt? Wo, wie lange und zu welchem Zweck werden personenbezogene Daten gespeichert? Da OpenAI, das hinter ChatGPT stehende Unternehmen, seine Niederlassung in den USA hat, sind alle europäischen Datenschutzaufsichtsbehörden betroffen.
Kugelmann hat im Verbund mit den deutschen Datenschutzbehörden die TaskForce KI gegründet und leitet sie seither. Im April hat seine Abteilung einen umfangreichen Fragenkatalog an OpenAI geschickt. Mittlerweile hat das Unternehmen geantwortet. Doch für die Datenschützer gibt es nach wie vor offene Punkte und so wird der Austausch laut Kugelmann weitergehen. Ende des Jahres soll ein Ergebnis der Prüfung vorliegen.
Einen positiven Nebeneffekt des Verfahrens sieht der Datenschützer: Man lerne von dem intensiven Blick in den "Maschinenraum“ der KI. Transparenz und die Erklärbarkeit von KI-Systemen seien entscheidend, um Freiheit zu schützen und Menschen zu ermöglichen, ihre Rechte gegenüber den Betreibern wahrzunehmen.
