Ein Schüler aus Potsdam-Mittelmark konnte die privaten E-Mails der Lehrer von vier Schulen im Landkreis lesen, die untereinander ihre Kontonummern austauschten, weil sie einem Kollegen zur Hochzeit ein Geschenk kaufen wollten. Die Lehrer hatten die Chatfunktion in der für den Unterricht benutzten Cloud der Softwarefirma Microsoft von privat auf öffentlich gestellt - aus Versehen oder weil es bequemer war. Der Schüler informierte die Behörde der Landesdatenschutzbeauftragten Dagmar Hartge und diese nahm sich der Sache an.
Eigentlich dürften öffentliche Stellen diese Cloud gar nicht verwenden, sagte Hartge am Montag, als sie ihren Datenschutzbericht für das vergangene Jahr vorstellte. Denn Microsoft verwende für eigene Zwecke die anfallenden Telemetriedaten, die der Überwachung des Betriebssystems dienen. Öffentliche Stellen in Deutschland seien aber nicht berechtigt, solche Daten freizugeben. Es gebe jedoch eine Alternative, die mit dem Datenschutz abgestimmte Hasso-Plattner-Schulcloud, erklärte Hartge. Diese könne innerhalb von fünf Tagen einsatzbereit gemacht werden und funktioniere, wie ihr bestätigt worden sei. Vorkommende Aussetzer haben laut Hartge mit der Internetverbindung zu tun und nicht mit der Cloud.
Der aktuelle Datenschutzbericht steht im Zeichen der Corona-Pandemie. Es kommt zum Beispiel die im Sommer 2020 erfolgte Überprüfung von 50 Restaurants wegen der Kontaktdaten vor, die von den Gesundheitsämtern zur Nachverfolgung von Infektionsketten benötigt wurden. In einigen Fällen lagen Listen am Eingang aus. Namen, Adressen und Telefonnummern konnten von jedem eingesehen werden. Oder die Listen landeten im Müll, ohne dass sie unkenntlich gemacht worden sind. Einzelne Restaurants hatten versäumt, die Daten wie vorgeschrieben nach vier Wochen zu vernichten. Am krassesten war ein Fall, in dem ein findiger Gastronom die Adressen für Werbezwecke benutzte. Er musste deshalb Bußgeld zahlen.
Insgesamt verhängte Hartges Behörde Bußgelder in Höhe von 331 200 Euro. Zahlen musste etwa eine Arzthelferin, die mit einem Patienten anbändeln wollte. Sie entnahm der Krankenakte seine Telefonnummer und schickte ihm eine Nachricht - die von der Ehefrau entdeckt und gelesen wurde. Die Ehefrau war »nicht entzückt«, heißt es. Ein Polizist fragte im Einwohnermeldeamt die Adresse eines Prominenten ab. Die Adresse war gesperrt. Aber der Polizist erhielt sie, weil man glaubte, er benötige sie für Ermittlungen. Doch der Beamte hatte nur seine Neugier befriedigen wollen und musste ein Bußgeld entrichten.
Dass im Jahr 2020 die Zahl der schriftlichen Beschwerden bei der Datenschutzbeauftragten von 873 auf 1322 gestiegen ist (die per Telefon vorgebrachten Beschwerden werden nicht gezählt), erklärt sich Hartge mit der zunehmenden Digitalisierung. Sie führe dazu, dass »mehr passiert«. So konnten wegen einer Sicherheitslücke auf der Internetseite eines Kreisverbandes des Deutschen Roten Kreuzes (DRK) 5700 Anmeldungen für Erste-Hilfe-Kurse ausgelesen werden und außerdem über 100 000 Datensätze zu Krankentransporten. Ein Jugendlicher machte das DRK auf die Sicherheitslücke aufmerksam. Sie wurde zwar geschlossen. Man vergaß dabei aber, dass die Webseite noch auf einem zweiten Server abgelegt war - und dort bestand die Sicherheitslücke weiter. Kommentar Seite 9