Ende März 2025 legte die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert ihren Tätigkeitsbericht für das Jahr 2024 vor. Der Bericht bietet auf mehr als 200 Seiten einen umfassenden Überblick über die Arbeit der Aufsichtsbehörde und benennt zentrale Entwicklungen im Bereich des Datenschutzes. Im Folgenden werden die wichtigsten Befunde und exemplarische Fälle zusammengefasst.
Steigende Zahl von Beschwerden und Datenschutzverletzungen
Der Trend steigender Fallzahlen setzte sich auch im Berichtsjahr 2024 fort. Insgesamt 1.255 Beschwerden, Beratungsanfragen und Kontrollanregungen gingen bei der Aufsichtsbehörde im vergangenen Jahr ein. Das entspricht einem Anstieg von rund acht Prozent gegenüber dem Vorjahr. Die Zahl der gemeldeten Datenschutzverletzungen überschritt erstmals die Marke von tausend: 1.001 Vorfälle wurden durch sächsische Verantwortliche der Aufsichtsbehörde gemeldet.
Die häufigsten Ursachen waren klassische Fehlversendungen, etwa durch falsche Adressierungen bei Postversand oder fehlerhafte E-Mail-Verteiler, der Verlust technischer Geräte wie Laptops sowie Cybervorfälle, etwa durch Phishing- oder Ransomware-Angriffe. Ein praktisches Beispiel betrifft den Diebstahl von Kameras aus einer Kindertageseinrichtung, auf denen Bilddaten von Kindern gespeichert waren. Ein weiterer Fall betraf den Verlust unverschlüsselter Notebooks mit Gesundheitsdaten. Die Behörde betonte erneut die Bedeutung technischer und organisatorischer Maßnahmen, um Datenschutzverletzungen zu verhindern oder deren Auswirkungen zu begrenzen.
Maßnahmen der Aufsichtsbehörde
Nach den Angaben des Tätigkeitsberichtes griff die Aufsichtsbehörde zur Durchsetzung datenschutzrechtlicher Anforderungenauf verschiedene Instrumente zurück. Im Jahr 2024 wurden 11 Warnungen, 47 Verwarnungen sowie 40 Anweisungen und Anordnungen ausgesprochen. Daneben verhängte die Behörde 21 Bußgelder. Die Gesamthöhe belief sich auf 199.000 Euro im nichtöffentlichen Bereich und 14.580 Euro im öffentlichen Bereich.
Ein erheblicher Teil der Bußgeldverfahren betraf unzulässige Videoüberwachungen oder den Einsatz von Dashcams. Beispielhaft erwähnt wird die Nutzung von Dashcams durch Fahrzeugführerinnen und Fahrzeugführer, bei denen Aufnahmen ohne konkreten Anlass und über längere Zeiträume hinweg gespeichert wurden. In diesen und weiteren Fällen wurden Bußgelder zwischen 100 Euro und 1.000 Euro verhängt.
Prüfungen von Internetseiten
Ein wesentlicher Schwerpunkt der behördlichen Tätigkeit war im vergangenen Jahr die automatisierte Überprüfung von 32.981 Internetseiten sächsischer Behörden, Unternehmen und Vereine. Die Prüfungen konzentrierten sich darauf, ob bereits bei einem ersten Aufruf einer Internetseite ohne Einwilligung personenbezogene Daten an Drittanbieter übermittelt werden. Bei etwa 66 Prozent der geprüften Seiten wurde eine solche Übertragung festgestellt, häufig an Google-Dienste wie Google Analytics oder Google Fonts.
In der Folge leitete die Aufsichtsbehörde ein Massenverfahren ein und kontaktierte 2.304 Seitenbetreiber, die überwiegend Google Analytics ohne rechtmäßige Einwilligung eingesetzt hatten. Die Nachkontrolle ergab, dass rund 65 Prozent der Verantwortlichen die festgestellten Verstöße beseitigt hatten. Häufige Fehlerquellen waren etwa voreingestellte Tracking-Dienste trotz Anzeige eines Einwilligungsmanagements („Cookie-Banner“) oder unzureichende Informationen im Rahmen der Einholung der Einwilligung. Der Bericht zeigt, dass weiterhin erheblicher Nachbesserungsbedarf bei der praktischen Umsetzung von Einwilligungsanforderungen besteht.
Dauerbrenner Videoüberwachung
Auch im Bereich der Videoüberwachung blieb der Beratungs- und Prüfbedarf hoch. Mehr als zwei Drittel der im nichtöffentlichen Bereich eingeleiteten Ordnungswidrigkeitenverfahren standen im Zusammenhang mit Verstößen bei Videoüberwachungen. Häufig wurden fehlende Hinweisschilder bemängelt, die betroffenen Personen nicht klar und verständlich über die Überwachung informieren. Zudem fehlte in vielen Fällen eine klare Zweckbestimmung, und überwachte Bereiche umfassten auch öffentlich zugängliche Flächen, ohne dass hierfür ein ausreichender Rechtfertigungsgrund vorlag.
Zur Unterstützung bei der Umsetzung datenschutzkonformer Videoüberwachung veröffentlichte die sächsische Datenschutz-Aufsichtsbehörde 2024 eine überarbeitete zweite Auflage der Broschüre „Achtung Kamera!“, die praxisnahe Hinweise zur rechtssicheren Gestaltung von Videoüberwachungsmaßnahmen bietet.
Beschäftigtendatenschutz
Ein weiterer Schwerpunkt lag im Bereich des Schutzes von Beschäftigtendaten. Die Aufsichtsbehörde stellte beispielsweise fest, dass in mehreren Fällen vertrauliche personenbezogene Daten von Beschäftigten, etwa Gesundheitsdaten oder Kündigungsgründe, in Betriebsversammlungen oder internen Bekanntmachungen unzulässig offengelegt wurden. Die Aufsichtsbehörde weist in diesem Kontext ausdrücklich darauf hin, dass Personalaktendaten stets streng vertraulich zu behandeln sind. Auch mündliche Offenbarungen sensibler Informationen gegenüber nicht berechtigten Dritten sind unzulässig.
„Das Gebot der Gewährleistung der Vertraulichkeit in Bezug auf Personalaktendaten ist eine Verpflichtung des Arbeitgebers, die sowohl innerhalb der Dienststelle bzw. des Betriebes und auch gegenüber außenstehenden Dritten besteht. Die Personalakte ist daher vertraulich zu behandeln, vor unbefugter Einsicht zu schützen und der Zugriff nur für solche Beschäftigten und auf solche Daten zuzulassen, wie dies im Rahmen der Personalverwaltung erforderlich ist.“, so Dr. Juliane Hundert im Rahmen des Tätigkeitsberichtes.
Cyberkriminalität als zunehmende Bedrohung
Der Tätigkeitsbericht weist ferner darauf hin, dass Meldungen von Datenschutzverletzungen infolge von Cyberangriffen weiterhin eine zentrale Rolle spielen. Derartige Vorfälle umfassen insbesondere Phishing-Angriffe, Ransomware-Attacken sowie das Ausnutzen von Sicherheitslücken.
Ein typisches Beispiel aus dem Berichtsjahr war die Kompromittierung von E-Mail-Konten, die in mehreren Fällen dazu führte, dass unbefugte Dritte Zugriff auf personenbezogene Daten erlangten. In einigen Fällen wurden dadurch vertrauliche Kommunikationsdaten abgegriffen oder betrügerische E-Mails im Namen betroffener Organisationen verschickt. Die Behörde empfiehlt, den Schutz technischer Systeme regelmäßig zu überprüfen und organisatorische Maßnahmen wie Sensibilisierungstrainings für Beschäftigte zu etablieren, um das Risiko von derartigen Datenschutzverletzungen und Sicherheitsvorfällen zu verringern.
Fazit
Der Tätigkeitsbericht zeigt, an welchen Stellen Verantwortliche in Sachsen gezielt ansetzen können, um datenschutzrechtliche Anforderungen im Alltag besser umzusetzen. Ob bei einem Betrieb von Internetseiten, bei der Gestaltung von Videoüberwachungsmaßnahmen oder im Umgang mit Beschäftigtendaten – häufig lassen sich Verbesserungen schon durch klarere Prozesse sowie wirksamere technische und organisatorische Maßnahmen erzielen. Die dargestellten Beispiele machen deutlich, dass Datenschutz in vielen Fällen mit überschaubarem Aufwand wirksam verbessert werden kann. Unternehmen, Behörden und Vereine erhalten mit dem Bericht konkrete Hinweise, um ihre bestehenden Strukturen weiterzuentwickeln und die gesetzlichen Anforderungen im eigenen Verantwortungsbereich zuverlässig zu erfüllen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
