Tätigkeitsbericht 2020 29. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit

29 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 1 Dieser Bericht wurde dem Präsidenten des Deutschen Bundestages, Herrn Dr. Wolfgang Schäuble, überreicht.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber

2 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Unterrichtung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Tätigkeitsbericht für das Jahr 2020 – 29. Tätigkeitsbericht –

Inhaltsverzeichnis

1 Einleitung...... 6

2 Empfehlungen...... 8 2.1 Zusammenfassung der Empfehlungen für den 29. Tätigkeits­bericht...... 8 2.2 Empfehlungen aus dem 28. Datenschutz-Tätigkeitsbericht und dem 7. Informationsfreiheit-Tätigkeitsbericht – Stand der Umsetzung...... 9 2.3 Wichtige Empfehlungen aus früheren Tätigkeitsberichten – Stand der Umsetzung...... 12

3 Gremien...... 16 3.1 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)...... 16 3.1.1 Entschließung zum Patienten­daten-Schutz-Gesetz...... 16 3.1.2 Registermodernisierung verfassungskonform umsetzen...... 16 3.1.3 Datensouveränität...... 17 3.1.4 Orientierungshilfe Videoüberwachung...... 17 3.1.5 Anforderungen an eine sichere Email-Kommunikation...... 18 3.1.6 Initiative DSK 2.0...... 18 3.2 Europäischer Datenschutzausschuss...... 19 3.2.1 Bericht aus der Key Provisions Expert Subgroup...... 21 3.2.2 Evaluierung der DSGVO: Die erste Runde ist abgeschlossen...... 22 3.2.3 Gesichtserkennung – Nutzen und Grenzen...... 23 3.2.4 Genehmigung und Veröffentlichung der (deutschen) Akkreditierungskriterien zu Überwachungsstellen nach Art. 41 DSGVO...... 23 3.3 Global Privacy Assembly...... 24

4 Schwerpunktthemen...... 26 4.1 Corona...... 26 4.1.1 Die Corona-Warn-App der Bundesregierung...... 26 4.1.2 Die Datenspende-App...... 27 4.1.3 Corona-Maßnahmen und -Projekte...... 28 4.1.4 Änderungen des Infektionsschutzgesetzes...... 30 4.1.5 Schutzmaske nur gegen Daten?...... 31 4.1.6 Messenger und Videokonferenzssyteme – Fluch und Segen in Corona-Zeiten...... 32 4.1.7 Zustellung von Paketen unter Pandemie-bedingungen...... 34 4.1.8 Programme für Sofort- bzw. Überbrückungshilfen des Bundes im Zusammenhang mit der Corona-Pandemie...... 34 4.1.9 Coronabedingte Änderungen in der Arbeitsverwaltung...... 35 4.2 Das Patientendaten-Schutz-Gesetz...... 35 4.3 Umsetzung der Schrems II-Entscheidung des Europäischen Gerichtshofes...... 42

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 3 5 Gesetzgebung...... 44 5.1 Registermodernisierung...... 44 5.2 Die Digitalisierung der Verwaltung schreitet voran...... 45 5.3 IT-Sicherheitsgesetz 2.0...... 46 5.4 Novellierung des Gesetzes über den Bundesnachrichtendienst...... 47 5.5 Gesetzgebungsverfahren zur Änderung des Verfassungsschutzrechts...... 49 5.6 Die Verordnung zu den „Apps auf Rezept“...... 49 5.7 Datentransparenzverordnung...... 50 5.8 Die Grundrente kommt - aber auch datenschutzgerecht ?...... 51 5.9 Das Digitale Familienleistungen-Gesetz...... 52 5.10 Aktuelle Gesetzgebung und sonstige Regelungen im Telekommunikationsbereich...... 53

6 Sicherheitsbereich...... 55 6.1 Polizei 2020...... 55 6.2 Einheitliches Fallbearbeitungssystem...... 57 6.3 Das Urteil des Bundesverfassungsgerichts zur strategischen Ausland-Ausland-Fernmeldeaufklärung...... 57 6.4 Das Haber-Verfahren...... 59 6.5 Sicherheitsüberprüfung von Bewerberinnen und Bewerbern der Nachrichtendienste...... 60 6.6 Passenger Name Records - Wie viel Datensammlung ist zur Terrorismusbekämpfung gerechtfertigt?...... 60 6.7 JI-Richtlinie nach wie vor nicht vollständig umgesetzt...... 62 6.8 Neugestaltung des Informationsverbundes FIU 2.0...... 63 6.9 Datenschutzverstoß im Bereich der Zollfahndung...... 64 6.10 Beschäftigtendatenschutz in der Zollverwaltung...... 64 6.11 Datenschutzverstöße bei der Bundespolizei...... 66 6.12 Geschützter Grenzfahndungsbestand...... 66

7 Weitere Einzelthemen...... 67 7.1 Datenschutzaufsicht im parlamentarischen Bereich...... 67 7.2 Interdisziplinärer Beirat Beschäftigtendatenschutz...... 68 7.3 Register im Gesundheitsbereich...... 68 7.4 Nachbessern, aber bitte richtig – der zweite Beschluss des Bundesverfassungsgerichts zur Bestandsdatenauskunft...... 69 7.5 Anonymisierung – Eine Standortbestimmung zwischen der DSGVO und dem TKG...... 71 7.6 Unverschlüsselte Steuerdaten...... 72 7.7 IT-Konsolidierung Bund...... 73 7.8 Microsoft, der Datenschutz und die digitale Souveränität...... 74 7.9 Künstliche Intelligenz – Fortschritte...... 75 7.10 Zertifizierung und Akkreditierung – erste Verfahren starten...... 76 7.11 Videoidentverfahren: Aktuelle Grundsatzentscheidung des BfDI mit Ausstrahlwirkung für viele Bereiche...... 77 7.12 Folgen des Brexit...... 78 7.13 Neue Entwicklungen in der Forschung mit Gesundheitsdaten...... 78 7.14 Berichtigung von Diagnosedaten...... 79 7.15 Das Krankengeldfallmanagement – Kein Konsens über den Umfang der Datenerhebungsbefugnisse der Krankenkassen...... 80 7.16 Zuständigkeitsaufteilung im Bereich Telekommunikation...... 80 7.17 Cyber-Angriff auf die Bundesanstalt für Immobilienaufgaben...... 81

4 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 8 Informationsfreiheitsgesetz...... 82 8.1 Einzelthemen...... 82 8.1.1 Informationsfreiheit in der Pandemie...... 82 8.1.2 Was ist eigentlich ein Geschäftsgeheimnis?...... 83 8.1.3 Zugang zum Verzeichnis von Verarbeitungstätigkeiten...... 84 8.1.4 Informationsfreiheitsgesetz des Bundes gilt nicht für der Deutschen Städtetag...... 85 8.2 Rechtsprechung ...... 85 8.2.1 Streit um die Veröffentlichung einer Stellungnahme zu Glyphosat: Berechtigter Schutz geistigen Eigentums oder Zensur? ...... 85 8.2.2 Was gilt? Das Parteiengesetz oder das Informationsfreiheitsgesetz?...... 86 8.2.3 Social-Media und die Informationsfreiheit...... 86 8.3 Statistik zur Informations­freiheit...... 87

9 Kontrollen und Auswirkungen...... 89 9.1 Fragebogenkontrolle zur Authentifizierung bei Call-Centern...... 89 9.2 Fragebogenkontrolle Handscanner...... 90 9.3 Änderung der Organisation des behördlichen Datenschutzes im Bundesministerium der Verteidigung .. 90 9.4 Beratungs- und Kontrollbesuche zur Anwendung des Informationsfreiheitsgesetzes...... 91 9.5 Kontrollen im Sicherheits­bereich...... 91 9.5.1 Kontrollen und Beanstandungen im Bereich des Bundesamtes für Verfassungsschutz...... 91 9.5.2 Kontrolle der Anti-Terror Datei...... 92 9.5.3 Das Vorgangsbearbeitungssystem beim BKA...... 93 9.5.4 Datenübermittlungen des BKA im internationalen Bereich...... 94 9.5.5 Allgemeiner Beitrag über die durchgeführten SÜG-Kontrollen...... 95

10 BfDI intern...... 96 10.1 Handlungsmöglichkeiten des BfDI bei europarechtswidriger Gesetzgebung...... 96 10.2 Urteil des Landgerichts Bonn bestätigt Rechtsauffassung des BfDI...... 96 10.3 Personalentwicklung im Jahr 2020...... 98 10.4 Die neue Liegenschaft...... 99 10.5 Presse- und Öffentlichkeitsarbeit...... 99 10.6 BfDI in Zahlen...... 101

11 BfDI als zentrale Anlaufstelle (ZASt)...... 104 11.1 Stärkung der Zentralen Anlaufstelle...... 104 11.2 Statistischer Einblick in die Arbeit der ZASt im Rahmen der Verfahren der Zusammenarbeit und Kohärenz auf europäischer Ebene...... 105

12 Und dann war da noch…...... 109 12.1 Die Sache mit den Memes...... 109

Themenzuordnung nach Bundestagsausschüssen...... 112

Anlagen ...... 115 Anlage 1 Kontrollen, Beratungs- und Informationsbesuche...... 115 Anlage 2 Übersicht über Anweisungen, Beanstandungen, Verwarnungen, Geldbußen...... 117 Abkürzungsverzeichnis...... 119 Schlagwortverzeichnis...... 122

Impressum...... 124

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 5 1 Einleitung

2020 – was für ein Jahr! Das Corona-Virus und seine Ähnlich beratungsintensiv und am Ende unbefriedigend Folgen überlagerten alle Lebensbereiche, bestimmten war die Begleitung des Registermodernisierungsgeset- die politische Agenda genauso wie die wirtschaftliche, zes, das Ende 2020 in den Bundestag eingebracht wurde. führten uns in zwei so noch nie dagewesene Lockdowns Das Gesetz sieht vor, die Steuer-Identifikationsnummer und in Videokonferenzen ohne Ende. Einige Grundrech- zukünftig als Personenkennzeichen für über 50 Daten- te, darunter auch der Datenschutz, wurden zugunsten banken und Register von Bund und Ländern zu nut- der Pandemiebekämpfung eingeschränkt. zen. Aus datenschutzrechtlicher Sicht sinnvollere, die Funktionalität ebenfalls vollumfänglich gewährleistende Abstand halten, Kontakte minimieren, im Homeoffice Alternativen wie beispielsweise bereichsspezifische arbeiten, die Kinder beim Homeschooling betreuen Personenkennziffern wurden nur ungenügend oder gar oder anders beschäftigen und gleichzeitig die „norma- nicht geprüft. Gerade weil das Bundesverfassungsgericht le“ Arbeit bewältigen: All dies wurde im Jahr 2020 von die Einführung von Personenkennziffern in den letzten vielen Beschäftigten gefordert und umgesetzt. Auch in Jahren immer wieder für verfassungswidrig erklärt hat, meinem Haus wurde Homeoffice der Normalfall und vermute ich, dass die aktuellen Pläne einer Verfassungs- Dank dem bereits 2019 vollzogenen Austausch fast aller beschwerde nicht standhalten werden. Das unterstüt- Desktop-PCs durch Laptops sowie der Umstellung des zenswerte Vorhaben einer Bürokratieentlastung für die Behördenbetriebs auf die e-Akte konnten wir unsere Bürgerinnen und Bürger ebenso wie für die Verwaltung Arbeit abgesehen von den Vor-Ort-Kontrollen so gut wie läuft damit Gefahr, weiter in die Zukunft verschoben zu uneingeschränkt fortsetzen. werden (s. 5.1 und 5.2). Dies war auch dringend notwendig, denn die Bundes­ Nicht in die Zukunft verschoben werden können die regierung steigerte ihre schon im Vorjahr hohe Zahl von Auswirkungen des Urteils des Europäischen Gerichts- Gesetzentwürfen weiter. Insbesondere im Gesundheits- hofs (EuGH) zum internationalen Datenverkehr vom Juli bereich wurden neben dem ohnehin schon sehr bera- 2020. Mit seiner sogenannten Schrems II-Entscheidung tungsintensiven sogenannten Patientendaten-Schutz- erklärte das Gericht nicht nur die Regelungen des „Pri- Gesetz (PDSG) gleich drei Pandemiebekämpfungsgesetze vacy Shields“ für unwirksam. Es stellte auch noch einmal auf den Weg gebracht, die zum Teil kaum Zeit zur Prü- klar, dass grundsätzlich ein der EU gleichwertiges Daten- fung und Beratung ließen. schutzniveau für Datentransfers in Drittstaaten bestehen Das PDSG regelt insbesondere die schon lange geplante muss. Insofern müssen beispielsweise Standarddaten- elektronische Patientenakte (ePA) und die Einführung schutzklauseln unter anderem dann um „zusätzliche von elektronischen Rezepten. Trotz langer und intensi- Maßnahmen“ ergänzt werden, wenn im Empfängerland ver Beratungen mit dem Bundesgesundheitsministerium Sicherheitsbehörden einen umfassenden Zugriff auf ist es leider nicht gelungen, die ePA für alle gesetzlich die übermittelten Daten nehmen können (s. 4.3). Zur Versicherten so auszugestalten, dass diese vom ersten Unterstützung der von der unmittelbaren Wirksamkeit Tag an sowohl die gesundheitlichen Vorteile als auch des Urteils betroffenen datenverarbeitenden Stellen hat die von der Datenschutz-Grundverordnung (DSGVO) ge- der Europäische Datenschutzausschuss unverzüglich forderten Maßgaben erfüllt (s. 4.2). Gerade weil die ePA erste Handlungsempfehlungen und Hilfestellungen zur viele, besonders sensible Patientendaten enthalten soll, Verfügung gestellt. Aufgrund der Gravität und Reichwei- ist der Schutz dieser Daten besonders wichtig. Ich muss te der Auswirkungen des Urteils werden seine Folgen hier auf weitere Nachbesserungen im Sinne der DSGVO uns aber sicherlich auch noch in den nächsten Jahren bestehen. beschäftigen.

6 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Ein Thema, dass uns hoffentlich nicht über die nächs- Daten (s. 6.6) oder Vorgaben zur datenschutzkonformen ten Jahre beschäftigen wird, ist die Corona-Warn-App Umsetzung privater Videoüberwachung (s. 3.1.4). (CWA). Zum einen, weil zu hoffen bleibt, dass wir Corona Ein weiterer wichtiger Bereich meiner Arbeit ist dieses schnellstmöglich in den Griff bekommen, zum ande- Jahr zum ersten Mal gemeinsam mit dem Datenschutz in ren, weil die in 2020 in dieses Projekt investierte Arbeit diesem Bericht vertreten: Die Informationsfreiheit. Auch immer wieder unter hohem Zeitdruck geschehen musste. hier nahm Corona Einfluss auf meine Arbeit: Die Moda- Deshalb freut es mich auch, dass die CWA als positives litäten und die Kosten der Rückholung von deutschen Beispiel dafür dienen kann, wie durch die konsequen- Staatsbürgerinnen und Staatsbürgern während des ersten te Einbindung einer Datenschutzaufsichtsbehörde im Lockdowns war Gegenstand zahlreicher Anfragen. Viele gesamten Entwicklungsprozess ein aus datenschutz- Menschen richteten Fragen zum Pandemiemanagement rechtlicher Sicht hervorragendes Produkt an den Markt an das Robert Koch-Institut oder das Bundesministerium gebracht werden konnte (s. 4.1.1). Nicht zuletzt aufgrund für Gesundheit, bei denen ich um Vermittlung gebeten der datenschutzfreundlichen Ausgestaltung trifft die CWA worden war. in der Bevölkerung auf eine hohe Akzeptanz und wurde bis Ende des Jahres 2020 bereits mehr als 24 Millionen Letztendlich belegt auch der diesjährige Tätigkeitsbericht Mal heruntergeladen. wieder eindrucksvoll, dass Datenschutz und Informati- onsfreiheit Querschnittsthemen sind, die in fast allen Le- Gerade deshalb verwundert und irritiert mich die aktuelle bensbereichen mehr oder weniger Bedeutung entfalten. Diskussion über angeblich fehlende Funktionalitäten der Vor allem zeigt sich, dass die Arbeit zur Unterstützung der App. Vor allem die von vielen Stellen vorgebrachten Be- Bürgerinnen und Bürger bei der Wahrung und Durchset- hauptungen, strenge Datenschutzvorgaben würden eine zung ihres Grundrechts auf informationelle Selbstbestim- sinnvolle Weiterentwicklung der CWA verhindern, sind mung nach wie vor weiter zunimmt. Erfreulicherweise schlichtweg falsch und basieren nicht selten auf mangeln- konnte durch den Stellenaufwuchs in den letzten drei Jah- dem Verständnis der Funktionsweise und technischen ren unter anderem die Beratung und Information der von Möglichkeiten der App. Fakt ist, dass bislang keine der in mir beaufsichtigten Stellen weiter intensiviert werden. die Diskussion eingebrachten, geeigneten und technisch Damit konnten ich die in der DSGVO und im Bundesdaten- umsetzbaren Vorschläge am Datenschutz gescheitert ist. schutzgesetz festgelegten Arbeitsaufträge „sensibilisieren, Ich wünschte mir daher hier eine differenziertere und vor beraten, kontrollieren“ besser als zuvor umsetzen. Und allem informiertere Debatte, die die sinnvolle und effek- daher gibt es neben den im Tätigkeitsbericht erwähnten tive Weiterentwicklung unterstützt. Denn auch wenn die Positivbeispielen, bei denen die Beratung zu datenschutz- CWA nicht die alleinige Lösung darstellen kann, bietet sie freundlichen Lösungen und einer guten Umsetzung des hervorragende Voraussetzungen, Infektionsketten schnel- Anspruchs auf Informationsfreiheit geführt hat, noch ler zu unterbinden und damit wesentlich zur Bekämpfung viele weitere Fälle, bei denen unsere Empfehlungen von der Pandemie beizutragen. Unternehmen und Behörden aufgegriffen und umgesetzt Auch jenseits von Corona war der BfDI in 2020 mit vielen wurden. Themen befasst, deren Auswirkungen nicht nur spezielle Diese Arbeit mache ich nicht allein, sondern kann mich Bereiche und rechtliche Fragen umfassen, wie z. B. die No- auf ein starkes, motiviertes und engagiertes Team aus vellierung des Bundesnachrichtendienstgesetzes (s. 5.4), – Stand Ende 2020 – 251 Mitarbeiterinnen und Mitarbei- die notwendige Datenschutzordnung des Bundestages (s. ter verlassen. Ihnen möchte ich an dieser Stelle meine 6.1) oder Entwicklungen im Bereich der Künstlichen Intel- aufrichtige Anerkennung für die geleistete (Mehr)Arbeit ligenz (s. 6.9). Eine ganze Reihe von Fragestellungen betra- aussprechen und mich für die großartige Zusammenar- fen auch Themen, die unmittelbar spürbare Auswirkun- beit auch und gerade unter den in diesem Jahr erschwer- gen für einzelne Bürgerinnen und Bürger haben können, ten Bedingungen bedanken. wie etwa Verfahren zum Krankengeldfallmanagement (s. 6.14), der unverschlüsselte E-Mailversand von sensiblen Prof. Ulrich Kelber

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 7 2 Empfehlungen

2.1 Zusammenfassung der EuGH sorgfältig überprüfen und erforderliche Anpas- Empfehlungen für den sungen vornehmen. (Nr. 4.3) 29. Tätigkeitsbericht­ Ich empfehle, die Gesetze, Projekte und Maßnahmen, die im Rahmen der Corona-Pandemie unter hohem Ich empfehle den meiner Aufsicht unterliegenden Stel- Druck und innerhalb kürzester Fristen entwickelt und len, mich auch bei zeitkritischen Projekten frühzeitig umgesetzt wurden, nach Ende der Pandemielage be- einzubinden. Dadurch kann dem Datenschutz und damit wusst und sorgfältig zu evaluieren. (Nr. 4.1.3, 4.1.4) auch dem Schutz der Betroffenenrechte von Anfang Ich empfehle, „digitale Gesundheitsanwendungen“ in an ausreichend Rechnung getragen werden. (Nr. 4.1.4, der sicheren Telematikinfrastruktur oder auf maschinell 4.1.8, 4.1.9) lesbaren Datenträgern an die Nutzer zu übermitteln. Zu- Ich empfehle dem Bundesrat, eine Stellvertreterin bzw. dem sollte für die Bereitstellung der „digitalen Gesund- einen Stellvertreter des gemeinsamen Vertreters nach heitsanwendungen“ in der Telematikinfrastruktur ein § 17 Abs. 1 BDSG zu wählen. (Nr. 11.1) App-Store neu geschaffen und von schweigepflichtigen Akteuren des Gesundheitssystems betrieben werden. Ich empfehle, bei der Registermodernisierung statt (Nr. 5.6) auf eine einheitliche Personenkennziffer auf mehrere bereichsspezifische Identifikatoren zurückzugreifen. Ich empfehle klarzustellen, dass die Ausübung von Da- Zumindest sollte das 4-Corner-Modell für jede Daten- tenschutzrechten nicht zu Strafschärfungen in Diszipli- übermittlung eingesetzt und eine strenge Zweckbindung narverfahren führen darf. (Nr. 6.10) für die Verwendung der ID-Nr. festgelegt werden. Das Ich empfehle, das europäische Datenschutzrecht um- Datencockpit sollte zeitnah zu einer echten Bestandsda- gehend und vollständig umzusetzen. Dies sollte nicht tenauskunft weiterentwickelt werden. (Nr.5.1) als Vorwand dafür dienen, umstrittene Regelungen mit Ich empfehle, dass die meiner Aufsicht unterliegenden neuen Eingriffsbefugnissen für die Sicherheitsbehörden Stellen ihre Datenübermittlungen an Drittländer im Hin- einzuführen. (Nr. 6.7) blick auf die Anforderungen des Schrems II-Urteils des

8 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 2.2 Empfehlungen aus dem 28. Datenschutz-Tätigkeitsbericht und dem 7. Informationsfreiheit-Tätigkeitsbericht – Stand der Umsetzung

Empfehlung Stand der Umsetzung

Ich empfehle, bei der vielfältigen Umsetzung der KI entwickelt sich rasant. Es ist gut, dass der (öffentliche) KI die sieben datenschutzrechtlichen Anforde- Diskurs um die rechtlichen, wirtschaftlichen und gesell- rungen der „Hambacher Erklärung zur Künstli- schaftlichen Implikationen von KI in vollem Gange ist. Da- chen Intelligenz“ zu beachten. (Nr. 3.1 des 28. tenschutz ist hierbei ein wichtiger Erfolgsfaktor. Ich werde TB) die Entwicklungen in diesem Bereich weiter aufmerksam verfolgen und mich weiter für eine datenschutzkonforme KI einsetzen, die dem Menschen dient.

Ich empfehle, im Rahmen der Evaluation der Bericht der Kommission zur Evaluierung liegt vor DSGVO die Position der nationalen Daten- (MITTEILUNG DER KOMMISSION COM(2020) 264 final). schutz-Aufsichtsbehörden sowie des Euro- Die Bundesregierung hat sich im Rat bei der Evaluierung päischen Datenschutzausschusses (EDSA) zu intensiv eingebracht. Unmittelbare Maßnahmen zur Ände- unterstützen. Das gilt insbesondere für sinnvolle rung der DSGVO hat die KOM im Ergebnis nicht erwogen. Entlastungen kleiner und mittelständischer Un- ternehmen beim zu leistenden bürokratischen Verfahrensaufwand und für die Forderung nach einer Verschärfung des geltenden Rechtsrah- mens für das Profiling. (Nr. 4.1 des 28. TB)

Ich empfehle, bei der elektronischen Patienten- Zwar ist das Patienten-Daten-Schutzgesetz mit seinen akte von Beginn an ein differenziertes Rollen- zahlreichen Regelungen zur TI und der elektronischen und Rechtemanagement zu implementieren. (Nr. Patientenakte (ePA) in Kraft getreten. Allerdings startet die 4.2.1 des 28. TB) ePA zum 1.1.2021 ohne die Möglichkeit, dokumentengenau den Zugriff zu steuern. Erst ab dem 1.1.2022 können soge- nannte Front-End-Nutzer dokumentengenau steuern, alle anderen Versicherten sollen dauerhaft die Zugriffsberechti- gungen nur über Dokumentenkategorien steuern können.

Ich empfehle, statt einer Verlagerung von Re- Diese Empfehlung wurde bisher nicht aufgegriffen. gistern ins Bundesinstitut für Arzneimittel und Medizinprodukte eine eigenständige unabhängige Registerbehörde im Gesundheitsbereich zu schaf- fen. (Nr. 4.2.2 des 28. TB)

Ich empfehle, die Vorschläge der Datenethik- Soweit ersichtlich, ist bislang kein Umsetzungsschritt er- kommision gesetzlich zu verankern. (Nr. 4.6) folgt. Ein erster Versuch, im TTDSG-E ein PIMS einzuführen, ist bereits im Ansatz wieder zurückgezogen worden.

Ich empfehle, das Telekommunikationsgesetz Die Bundesregierung hat Ende 2020 einen Gesetzentwurf (TKG) und das Telemediengesetz (TMG) an die zur Modernisierung des Telekommunikations- sowie des DSGVO anzupassen. (Nr. 5.2 des 28. TB) Telemedienrechts vorgelegt.

Ich empfehle, ein Sicherheitsgesetz-Moratorium Diese Empfehlung wurde bisher nicht aufgegriffen. auszusprechen und einen Evaluationsprozess der sicherheitsbehördlichen Eingriffskompeten- zen einzuleiten, um mögliche Vollzugsdefizite zu identifizieren. (Nr. 5.3 des 28. TB)

Ich empfehle, bei der Registermodernisierung Im noch laufenden Gesetzgebungsverfahren wurden meine statt auf eine einheitliche Personenkennziffer Bedenken weitgehend nicht berücksichtigt. Die Empfeh- auf mehrere bereichsspezifische Identifikatoren lung wird daher auch durch eine neue Empfehlung aktuali- zurückzugreifen. (Nr. 5.5 des 28. TB) siert und konkretisiert (siehe oben).

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 9 Empfehlung Stand der Umsetzung

Ich empfehle, auf eine Videoüberwachung mit Bisher wurde eine entsprechende Regelung nicht ins BPolG biometrischer Gesichtserkennung im öffentli- aufgenommen. chen Raum zu verzichten. (Nr. 6.2 des 28. TB)

Ich empfehle, für das sogenannte Haber-Verfah- Diese Empfehlung wurde bisher nicht aufgegriffen. ren eine ausdrückliche und umfassende gesetzli- che Grundlage zu schaffen. (Nr. 6.5 des 28. TB)

Ich empfehle, den Bürgerinnen und Bürgern Im Entwurf des Registermodernisierungsgesetzes ist ein im Zusammenhang mit Diensten nach dem Datencockpit vorgesehen, das eine Transparenz bezüglich Onlinezugangsgesetz eine nutzerfreundliche der Übermittlungen zwischen den vom RegMoG erfassten Möglichkeit einzuräumen, um die stattfindenden Registern vorsieht. Ich setze mich darüber hinaus dafür ein, Datenverarbeitungsprozesse nachvollziehen und das Datencockpit zu einer echten Bestandsdatenauskunft kontrollieren zu können. (Nr. 8.2 des 28. TB) auszubauen.

Ich empfehle den meiner Aufsicht unterstehen- Leider wird immer noch viel zu wenig auf verschlüsselte den Stellen, personenbezogene Daten grund- E-Mail-Kommunikation gesetzt. Insbesondere führte meine sätzlich nur verschlüsselt per E-Mail zu versen- Kritik an einer diesbezüglichen Regelung in der Abgaben- den. (Nr. 8.3 des 28. TB) ordnung zu keiner Verbesserung.

Ich empfehle einen diskriminierungsfreien Zugriff Diese Empfehlung wurde bisher nicht aufgegriffen. auf Fahrzeugdaten und im Fahrzeug generierte Daten über eine sichere Telematikplattform im Fahrzeug, etwa nach dem Vorbild von Smart- Meter-Gateways. (Nr. 8.7 des 28. TB)

Ich empfehle dem Gesetzgeber die Weiterent- Der Bundesgesetzgeber hat meine Empfehlung, das wicklung des Informationsfreiheitsgesetzes in Informationsfreiheitsgesetz zu einem Transparenzgesetz Richtung eines Transparenzgesetzes. weiterzuentwickeln, bisher nicht aufgegriffen.

a) Dieses Transparenzgesetz sollte die Behörden Allerdings gibt es Initiativen im Bereich offener Daten: Im deutlich stärker und umfangreicher zu proakti- Dezember 2020 haben BMI und BMWi den Referentenent- ven Veröffentlichungen verpflichten. wurf zum Zweiten Open-Data-Gesetz und Datennutzungs- gesetz vorgelegt1. b) Mit einem Transparenzgesetz sollte die Bun- desregierung auch zur Einrichtung und zum Be- Mit dem Gesetzentwurf soll zum einen die Open-Data-Rege- trieb eines zentralen Portals des Bundes für die lung des Bundes (§ 12a E-Government-Gesetz) ausgeweitet gebündelte proaktive Informationsbereitstellung werden. Mehr öffentliche Verwaltungsdaten sollen über verpflichtet werden. Hier sollten bisher nicht den zentralen Zugangspunkt GovData und dort zu hinterle- veröffentlichte Informationen ebenso wie ge- gende Metadaten auffindbar werden. eignete, auf Antrag hin einzelnen Interessenten Zum anderen soll das Datennutzungsgesetz die Richtlinie bereitgestellte Informationen für alle verfügbar (EU) 2019/1024 des Europäischen Parlaments und des gemacht werden (sog. „access for one – access Rates vom 20. Juni 2019 über offene Daten und die Weiter- for all“ - Prinzip). verwendung von Informationen des öffentlichen Sektors in c) Zudem sollte das Portal die Möglichkeit für nationales Recht umsetzen. Das weitere Gesetzgebungsver- eine einfache elektronische Antragstellung und fahren bleibt abzuwarten. Bescheidung eröffnen. Dies sollte das Auffinden von Informationen erleichtern und gleichzeitig den Aufwand in den Verwaltungen reduzieren.

1 Entwurf eines Gesetzes zur Änderung des E-Government-Gesetzes und zur Einführung des Gesetzes für die Nutzung von Daten des öffentlichen Sek- tors, Quelle: https://www.bmwi.de/Redaktion/DE/Downloads/Gesetz/referentenentwurf-zweites-open-data-gesetz-und-datennutzungsgesetz.pdf

10 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Empfehlung Stand der Umsetzung

Ich empfehle dem Gesetzgeber, meine Funktion Meine Anordnungs- und Sanktionsbefugnisse im Infor- als Bundesbeauftragter für die Informationsfrei- mationsfreiheitsrecht wurden bisher nicht entsprechend heit auszubauen. meiner datenschutzrechtlichen Befugnisse ausgeweitet.

a) Dabei sollte mir die Möglichkeit für verbind- liche Anordnungen und weitere Sanktionen analog zu meinen datenschutzrechtlichen Befugnissen gegeben werden. Damit wären Antragstellerinnen und Antragsteller nicht mehr nur auf den – oft zeit- und kosteninten- siven – Weg des gerichtlichen Rechtsschutzes angewiesen.

b) Wie schon meine Vorgänger empfehle ich Ein entsprechendes Gesetzgebungsverfahren wurde dem Gesetzgeber die Erweiterung meiner eingeleitet. Aufgaben und Befugnisse insbesondere im Zwischenzeitlich liegt ein Gesetzentwurf der Bundesregie- Hinblick auf das Umwelt- und das Verbraucher­ rung „Entwurf eines Gesetzes zur Änderung des Umwelt- informationsrecht. Auf diese Weise könnte schadensgesetzes, des Umweltinformationsgesetzes und ich den zweifelsohne auch hier bestehenden weiterer umweltrechtlicher Vorschriften“ vom 11.11.2020 Bedarf für die Beratung und Unterstützung der vor2: Antragstellerinnen und Antragsteller wie auch der Behörden decken. Das Umweltbundesamt hat im Dezember 2020 die Studie „Evaluation des Umweltinformationsgesetzes (UIG) - Ana- lyse der Anwendung der Regelungen des UIG und Erschlie- ßung von Optimierungspotentialen für einen ungehin- derten und einfachen Zugang zu Umweltinformationen“ veröffentlicht3. Dem Gutachten lässt sich entnehmen, dass die Erweiterung der Ombuds- und Kontrollkom- petenzen des BfDI auf das UIG (vgl. S. 159 f. der Studie) sowie der Überwachungsaufgaben auf den BfDI (vgl. S. 167) empfohlen wurde.

Ich empfehle dem Gesetzgeber die kritische Die gebotene Prüfung steht noch aus. Prüfung der Ausnahmetatbestände des Infor- mationsfreiheitsgesetzes auf Redundanz und weiter bestehende Notwendigkeit.

2 Quelle: BT-Drucks. 19/24230: https://www.bmu.de/gesetz/entwurf-eines-gesetzes-zur-aenderung-des-umweltschadensgesetzes-des- umweltinformationsgesetzes-und-w/

3 Quelle: https://www.umweltbundesamt.de/publikationen/evaluation-des-umweltinformationsgesetzes-uig

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 11 2.3 Wichtige Empfehlungen aus früheren Tätigkeitsberichten – Stand der Umsetzung

Empfehlung Stand der Umsetzung

Ich empfehle dem Gesetzgeber, Abhilfebefug- In dem mir vorliegenden Entwurf für ein neues BPolG sind nisse für den BfDI ins neue BPolG aufzunehmen. Abhilfebefugnisse des BfDI vorgesehen. Allerdings werden Diese sollten zumindest den bereits im neuen höhere Anforderungen aufgestellt, als es die Richtlinie BKAG enthaltenen Befugnissen entsprechen. vorgibt. So soll etwa eine Anordnung nur nach einer Bean- (Nr. 1.2 im 27. TB) standung möglich sein. Es fehlt zudem an der ausdrücklichen Möglichkeit zur Löschanordnung. Eine wirksame Abhilfe ist so gefährdet.

Ich empfehle dem Gesetzgeber, Sanktionsbefug- Im aktuellen Berichtszeitraum konnten keine Änderungen nisse für den BfDI auch im Bereich der Nachrich- festgestellt werden. Zum aktuellen Sachstand wird auf die tendienste einzuführen. (Nr. 1.2.1 im 27. TB) Ausführungen im letzten TB verwiesen.

Ich empfehle dem Gesetzgeber klarzustellen, Der Gesetzgeber lehnt dies ab. Wir beobachten daher Fälle, dass auch gegenüber den gesetzlichen Kran- wo Datenschutzverstöße bewusst begangen wurden, um kenkassen bei Verstößen gegen die DSGVO einen wirtschaftlichen Vorteil zu erreichen. Geldbußen verhängt werden können, soweit diese als Wirtschaftsunternehmen tätig werden. (Nr. 1.1 im 27. TB)

Ich empfehle, dass die Jobcenter ausreichend Im aktuellen Berichtszeitraum konnten keine Änderungen personell ausgestattet werden, um ihre Da- festgestellt werden. Zum aktuellen Sachstand wird auf die tenschutzbeauftragten von anderen Aufgaben Ausführungen im letzten TB verwiesen. freizustellen, damit diese ihre gesetzlich vor- geschriebenen Aufgaben erfüllen können. (Nr. 3.2.1 im 27. TB)

Ich empfehle der Bundesregierung, im Hinblick Im aktuellen Berichtszeitraum konnten keine Änderungen auf die Vorgaben des EuGH zu PNR Kanada das festgestellt werden. Zum aktuellen Sachstand wird auf die FlugDG zu überarbeiten und sich in Brüssel für Ausführungen im letzten TB verwiesen. eine Überarbeitung der Richtlinie (EU) 2016/681 einzusetzen. (Nr. 1.3 im 27. TB)

Ich empfehle dem Gesetzgeber, eine klare Im aktuellen Berichtszeitraum konnten keine Änderungen Zuständigkeitsregelung für die Kontrolltätigkeit festgestellt werden. Zum aktuellen Sachstand wird auf die von BfDI und G-10-Kommission zu schaffen, die Ausführungen im letzten TB verwiesen. auch die Kooperation zwischen diesen beiden Aufsichtsbehörden umfasst. Ich empfehle au- ßerdem, die Kontrollbefugnis des BfDI umfas- send auch beim Führen gemeinsamer Dateien des BfV mit ausländischen Nachrichtendiensten anzuerkennen und diese ggf. gesetzlich klarstel- lend zu regeln. (Nr. 9.1.5 im 27. TB)

Ich empfehle, in der gesamten Bundesverwal- Erfreulicherweise wird das Muster zunehmend in größerem tung bei Verträgen zur Auftragsverarbeitung Umfang eingesetzt. das neu entwickelte Vertragsmuster zur Auf- tragsverarbeitung zu verwenden. Die Muster- vereinbarung ist in meinem Internetangebot veröffentlicht. (Nr. 9.2.6 im 27. TB)

12 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Empfehlung Stand der Umsetzung

Ich empfehle, bei Zugriffen auf Eurodac und Maßnahmen zur Optimierung der Dokumentation wurden auf das VIS-Informationssystem durch Polizei- von den verantwortlichen Stellen zugesagt und erscheinen behörden auf eine aussagekräftige Dokumen- geeignet, Verbesserungen herbeizuführen. Allerdings haben tation zu achten. (Nr. 9.3.5 im 27. TB) meine Folgekontrollen hier noch immer Defizite aufgezeigt, die es seitens der verantwortlichen Stellen noch zu verbes- sern gilt. Ich werde die Umsetzung der Dokumentationsver- besserung weiterhin kritisch begleiten.

Ich empfehle dem Gesetzgeber angesichts des Im aktuellen Berichtszeitraum konnten keine Änderungen festgestellten geringen Nutzwerts von Antiter- festgestellt werden. Zum aktuellen Sachstand wird auf die rordatei und Rechtsextremismusdatei, diese Ausführungen im letzten TB verwiesen. abzuschaffen. (Nr. 9.3.5 im 27. TB)

Ich empfehle, die Strafprozessordnung zu Im aktuellen Berichtszeitraum konnten keine Änderungen überarbeiten. Insbesondere sind die Erhebung festgestellt werden. Zum aktuellen Sachstand wird auf die und Nutzung von Daten, die von V-Leuten aus Ausführungen im letzten TB verwiesen. polizeilichen oder nachrichtendienstlichen Zusammenhängen ermittelt wurden, im Straf- prozess nicht normenklar geregelt. Die Zusam- menarbeit mit Verfassungsschutzbehörden bedarf ohnehin einer engeren und präziseren Regelung. Die Rechtsprechung des Bundesver- fassungsgerichts ist insoweit umzusetzen. (Nr. 11.1.2 im 27. TB)

Ich rate dringend, die E-Privacy-Verordnung Im Rat der EU konnte auch unter der deutschen Ratspräsi- schnellstmöglich zu verabschieden. Die ak- dentschaft kein Fortschritt und damit nach wie vor keine tuelle Anwendung der auf der Grundlage der allgemeine Ausrichtung herbeigeführt werden. Richtlinie 2002/58/EG erlassenen nationalen Vorschriften trägt den gegenwärtigen Entwick- lungen nicht mehr angemessen Rechnung und schafft Rechtsunsicherheit für alle Beteiligten. Dies betrifft insbesondere das Verhältnis zwi- schen dem deutschen Telekommunikationsge- setz und der DSGVO. (Nr. 15.1.2 im 27. TB)

Ich rate den öffentlichen Stellen des Bundes, Im aktuellen Berichtszeitraum konnten keine Verbesserun- die Erforderlichkeit des Einsatzes Sozialer Me- gen festgestellt werden. Zum aktuellen Sachstand wird auf dien kritisch zu hinterfragen. Wichtige Informa- die Ausführungen im letzten TB verwiesen. tionen sollten nicht ausschließlich über Soziale Medien bereitgestellt werden. Sensible perso- nenbezogene Daten haben in Sozialen Medien nichts zu suchen; weder sollten öffentlichen Stellen selbst solche Daten einstellen, noch sollten sie Bürger dazu ermuntern, diese dort preiszugeben. Für die vertrauliche Kommuni- kation gibt es geeignete sicherere Kommunika- tionskanäle, auf die verwiesen werden sollte, etwa SSL-verschlüsselte Formulare, verschlüs- selte E-Mails oder De-Mail. (Nr. 15.2.7 im 27. TB)

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 13 Empfehlung Stand der Umsetzung

Ich empfehle den Bundesbehörden, die eine Im aktuellen Berichtszeitraum konnten keine Änderungen Fanpage betreiben, zu prüfen, ob der Betrieb festgestellt werden. Zum aktuellen Sachstand wird auf die einer Facebook-Fanpage zur Erfüllung ihrer Ausführungen im letzten TB verwiesen. Aufgaben unbedingt erforderlich ist oder sie sich nicht – zumindest bis zur rechtlichen Klä- rung der Situation – datenschutzfreundlichere Kommunikationskanäle nutzen können. (Nr. 15.2.8 im 27. TB)

Ich empfehle dem Gesetzgeber in Bund Mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz und Ländern, sich bei der Anpassung des sowie dem Zweiten Datenschutz-Anpassungs- und Umset- nationalen Datenschutzrechts an Geist und zungsgesetz hat der Gesetzgeber eine weitgehende Um- Buchstaben der neuen europäischen Daten- setzung der Regelungsaufträge und Regelungsspielräume schutzregeln zu halten, um eine weitgehend aus der DSGVO vorgenommen. Meinen Empfehlungen hat einheitliche Anwendung des künftigen europäi- der Gesetzgeber in beiden Gesetzen zum Teil entsprochen. schen Datenschutzes zur gewährleisten. Einige Regelungen beurteile ich jedoch weiterhin kritisch, (Nr. 1.1, 1.2 im 27. TB) wie etwa die Beschränkung der Aufsichtsbefugnisse bei Berufsgeheimnisträgern, die zum Teil europarechtswidri- gen Regelungen zur Videoüberwachung oder punktuell zu weitgehende Beschränkungen der Betroffenenrechte. Diese Punkte sollten bei der anstehenden Evaluierung des BDSG in den Fokus genommen werden

Für die Zukunft empfehle ich dem Deutschen Der Bundestag prüft derzeit die Schaffung einer eigenen Bundestag, sich eine eigene Datenschutz- Datenschutzordnung. ordnung unter Beachtung der Vorgaben der DSGVO zu geben. (Nr. 14.1.1 im 27. TB)

Ich empfehle dem Gesetzgeber, von der in der Im Sommer 2020 hat das BMAS den interdisziplinären Beirat DSGVO eingeräumten Möglichkeit, spezifische Beschäftigtendatenschutz einberufen. Die Beiratstätigkeit nationale Regelungen zum Beschäftigtenda- dauert aktuell noch an. Die Empfehlungen des Beirats sind tenschutz zu erlassen, zeitnah Gebrauch zu für die erste Jahreshälfte 2021 geplant. Mit der Beiratstätig- machen. (Nr. 3.1, 3.2.1 im 26. TB) keit wurde der erste Schritt in Richtung eines Beschäftigten- datenschutzgesetzes gegangen.

Ich empfehle dem Gesetzgeber, die Rechts- Im aktuellen Berichtszeitraum konnten keine Änderungen grundlagen für die Eingriffsbefugnisse der festgestellt werden. Zum aktuellen Sachstand wird auf die Sicherheitsbehörden und der Nachrichten- Ausführungen im letzten TB verwiesen. dienste entsprechend der Vorgaben des Bundesverfassungsgerichtes zum BKAG verfassungskonform auszugestalten, d. h. auch geltende Regelungen entsprechend zu ändern. (Nr. 1.3 im 26. TB)

Ich empfehle dem Gesetzgeber, gesetzliche Im aktuellen Berichtszeitraum konnten keine Änderungen Regelungen für das Einführen von Mortalitäts- festgestellt werden. Zum aktuellen Sachstand wird auf die registern für Forschungszwecke zu schaffen. Ausführungen im letzten TB verwiesen. (Nr. 9.2.3 im 26. TB)

14 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Empfehlung Stand der Umsetzung

Ich empfehle dem Gesetzgeber im Bereich der Das IT-Sicherheitsgesetz 2.0 wurde am 16.12.2020 vom IT-Systeme klare Vorgaben zu schaffen, damit Kabinett beschlossen und liegt dem Bundestag zur Beratung sowohl ein Höchstmaß an Sicherheit und vor. Auch im weiteren Gesetzgebungsverfahren ist darauf zu Widerstandsfähigkeit von IT-Systemen als auch achten, dass die Belange des Datenschutzes bestmögliche das Maximum zum Schutz personenbezogener Berücksichtigung finden. Daten erreicht werden kann. (Nr. 10.2.11.1 im 26. TB)

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 15 3 Gremien

3.1 Konferenz der unabhängigen des AK Gesundheit und Soziales sowie durch Abstim- Datenschutzaufsichtsbehörden mungen auf Behördenleiterebene. Das Ergebnis dieser Arbeiten habe ich im Rahmen einer Bundespressekon- des Bundes und der Länder (DSK) ferenz vorgestellt, an der auch drei Landesbeauftragte teilgenommen haben. Im weiteren Verlauf hat die DSK Die DSK hat die Aufgabe, die Datenschutzgrundrechte eine Entschließung zum PDSG verabschiedet, in der die zu schützen, eine einheitliche Anwendung des europä- datenschutzrechtlich problematischen Regelungen des ischen und nationalen Datenschutzrechts zu erreichen Gesetzentwurfs angesprochen und Lösungen aufgezeigt und gemeinsam für seine Fortentwicklung einzutreten. wurden. Dadurch sollten notwendige datenschutz- Den jährlich wechselnden Vorsitz hatte im Jahr 2020 rechtliche Verbesserungen des PDSG vor dem letzten der Sächsische Landesdatenschutzbeauftragte Andreas Beratungsdurchgang im Bundesrat erwirkt werden, Schurig. leider ohne Erfolg. Daher müssen die Datenschutzauf- Coronabedingt fanden alle Vor-, Zwischen- und Haupt- sichtsbehörden zur Erfüllung ihrer aufsichtsrechtlichen konferenzen der DSK als Videokonferenzen statt. Es Verpflichtung nach Inkrafttreten des PDSG, die Verhän- wurden neun Entschließungen zu aktuellen Gesetzge- gung aufsichtsrechtlicher Maßnahmen gegenüber den bungsvorhaben und sechs Beschlüsse, z.B. zum Einsatz datenschutzrechtlich Verantwortlichen zur Wahrung von Google Analytics verabschiedet. Außerdem wurden bzw. Wiederherstellung der Datenschutzkonformität aktuelle Orientierungshilfen beispielsweise zu Video- prüfen. konferenzsystemen sowie Anwendungshinweise zur Querverweis: Akkreditierung und zum Standard-Datenschutzmodell erarbeitet. 4.2 Patientendaten-Schutz-Gesetz

3.1.1 Entschließung zum Patienten­daten-Schutz-Gesetz 3.1.2 Registermodernisierung verfassungskonform umsetzen Die Konferenz der unabhängigen Datenschutzauf- sichtsbehörden des Bundes und der Länder (DSK) hat Die DSK hat sich deutlich gegen die Zweckentfremdung sich mehrfach mit dem Patientendaten-Schutz-Gesetz der Steuer-ID zu einem Personenkennzeichen ausge- (PDSG) befasst, mit dem die Digitalisierung im Ge- sprochen. sundheitswesen beschleunigt wird. Als Ergebnis ihrer Mit der Entschließung „Registermodernisierung Beratungen hat die DSK eine Entschließung veröffent- verfassungskonform umsetzen!“ vom 26. August 2020 licht (s. 4.2). positionierte sich die DSK deutlich gegen das Vorhaben Obwohl die Begleitung des Gesetzgebungsverfahrens der Bundesregierung, die Steuer-ID zu einem register- zum PDSG als Bundesgesetz in meinen alleinigen übergreifenden Ordnungsmerkmal (Personenkennzei- Zuständigkeitsbereich fällt, war die Erarbeitung ei- chen) auszubauen. Die DSK nahm dabei Bezug auf ihre ner einheitlichen datenschutzrechtlichen Auffassung vorhergehende Entschließung vom 12. September 2019 zum PDSG mit den Landesdatenschutzbeauftragten zu diesem Thema. erforderlich. Denn das PDSG enthält Vorgaben für alle Die DSK verweist auf die seit jeher äußerst kritische Be- gesetzlichen Krankenkassen, d. h. sowohl für die meiner wertung des Bundesverfassungsgerichts gegenüber der Aufsicht als auch die den Landesbeauftragten unterste- Einführung derartiger Personenkennzeichen. Wie das henden Krankenkassen. Die gemeinsame Positionierung höchste deutsche Gericht sieht auch die DSK die Gefahr erfolgte auf Arbeitsebene in der Unterarbeitsgruppe eGK eines Missbrauchs als grundrechtsgefährdend an. Der

16 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Entwurf des Registermodernisierungsgesetzes enthält Souveränität (ZenDis), dessen Aufgabe im Schwerpunkt hierfür keinen ausreichenden Ausgleich. Die Mög- die Thematik Open Source Software in der öffentlichen lichkeit einer Zusammenführung von Daten zu einem Verwaltung sein soll. Persönlichkeitsprofil wird nicht effektiv verhindert und Dieses auf den Schutz vor einseitigen Abhängigkeiten es ist damit zu rechnen, dass die Steuer-ID als Identifika- ausgerichtete institutionelle Verständnis findet auch tionsnummer nach und nach auch im Wirtschaftsleben datenschutzpolitisch Unterstützung. So bekennt sich verwendet wird. die Datenschutzkonferenz in einer Entschließung vom Die DSK kritisiert, dass wesentlich datenschutzfreund- September 2020 zur Wahlfreiheit und vollständigen lichere Alternativen, wie „sektorspezifische“ Perso- Kontrolle der Verantwortlichen der öffentlichen Verwal- nenkennzeichen, nicht berücksichtigt werden. Diese tung über die eingesetzten Mittel und Verfahren bei der Verfahren sind für die Praxis geeignet, werden aber digitalen Verarbeitung. Bund, Länder und Kommunen offenbar aus – relativ geringen – wirtschaftlichen Erwä- werden aufgefordert, langfristig nur solche Hard- und gungen und wegen eines selbstgesetzten Eilbedarfs nicht Software einzusetzen, die den Verantwortlichen der ergriffen. Datenverarbeitung die ausschließliche und vollständige Kontrolle überlässt, Transparenz der Sicherheitsfunktio- Die Entschließung vom 26. August 2020 finden Sie unter nen gewährleistet und eine Nutzung ohne Profilbildung www.bfdi.bund.de/entschließungen. und missbräuchliche Kenntnisnahme Dritter erlaubt. Querverweis: Bereits kurzfristig müssten Ziele und Kriterien digitaler Souveränität bei allen Beschaffungs- und Vergabever- 5.1 Registermodernisierung fahren berücksichtigt werden. Dabei sollen Open Source Produkte bevorzugt sowie Dienstleistungen und Produk- 3.1.3 Datensouveränität te mit Blick auf Privacy by Design, datenschutzfreundli- Datensouveränität hat sich als ein Leitbegriff der che Voreinstellungen und individuelle Konfigurierbar- Digitalpolitik etabliert. Er prägt die Debatten um eine keit ausgewählt werden. künftige Datenstrategie auf europäischer und nationa- Allerdings findet der Begriff nach wie vor auch in der ler Ebene. Doch die Verwendung des Begriffes bleibt auf individuelle Verbraucherrechte bezogenen Debatte weiterhin oft unscharf. Als Alternativbegriff zum Recht Verwendung. Manchen Interessenvertretern geht es auf informationelle Selbstbestimmung des Grund- dabei mit Schlagworten wie „Datenspende“ und „Daten gesetzes eignet er sich nicht. Er sollte auch nicht als als Entgelt“ eher darum, eine wirtschaftliche Verwer- Kampfbegriff gegen das bestehende gesetzliche Daten- tungsautonomie des Einzelnen an die Stelle des imma- schutzkonzept etabliert werden. Eine Entschließung teriell begründeten Rechts auf informationelle Selbst- der DSK definiert, was aus Datenschutzsicht darunter bestimmung zu setzen. Das dabei zugrunde liegende, verstanden werden sollte und formuliert konkrete eigentumsanaloge Verständnis von Daten und der ver- Forderungen. meintlich unteilbaren Herrschaft über die einen selbst Der Begriff Datensouveränität hatte zunächst im Zusam- betreffenden Daten geht fehl. Denn wirtschaftlich geht menhang mit den kurz nach der Verabschiedung der es mehr um die Verwertung von Informationen als um Datenschutz-Grundverordnung aufkommenden Ideen Daten, oft sogar um die Verwertung von mehrere Per- von einem sog. Dateneigentum an Bedeutung gewonnen sonen betreffenden Kommunikationen und die gezielte (vgl. dazu 27. TB, 1.5., S. 34). Er ist kein Rechtsbegriff, Erlangung von Wissen über einzelne Personen oder sondern entstammt der politischen Debatte. Inzwischen Personengruppen. Hier gilt mehr denn je, dass diese findet er häufig Verwendung in Diskussionen um euro- immateriellen Güter besonderen Schutz benötigen, und päische und nationale Datenstrategien. Das Eckpunk- dass nur mit einem differenzierten Datenschutzkonzept tepapier der Bundesregierung für eine Datenstrategie ein Höchstmaß an Persönlichkeitsschutz zu erreichen sieht in der Gewährleistung verbesserter Zugänge zu ist. Ein von manchen gar befürworteter allgemeiner Daten die „digitale Souveränität“ gesichert. Datensouve- Wandel des Datenschutzes hin zur Datensouveränität ränität bezeichnet damit eher eine auf die Sicherung der ist daher weder zu erwarten, noch wäre er mit Blick auf Eigenständigkeit und Unabhängigkeit von Institutionen den gebotenen Schutz der Rechte der Bürgerinnen und und der europäischen Digitalisierung ausgerichtete Bürger in der Digitalisierung angemessen. Wirtschaftspolitik. Als ein Beispiel wird dabei vor allem das von der Bundesregierung angestoßene, auf eine 3.1.4 Orientierungshilfe Videoüberwachung europäische Cloud-Infrastruktur ausgerichtete Projekt Die Datenschutzkonferenz (DSK) legt eine Orientie- Gaia-X genannt. In diesem Zusammenhang plant das rungshilfe für Fragestellungen bei privater Videoüber- Bundesinnenministerium auch ein Zentrum Digitale wachung vor.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 17 Am 03. September 2020 stellte die DSK eine Orientie- gemacht (BSI TR-03108 Sicherer E-Mail-Transport rungshilfe zur Videoüberwachung durch nicht-​öffent- https://www.bsi.bund.de/SharedDocs/Downloads/DE/ liche Stellen vor. Diese Orientierungshilfe lehnt sich BSI/Publikationen/TechnischeRichtlinien/TR03108/ weitgehend an die Leitlinien 3/2019 des Europäischen TR03108-1.html) Datenschutzausschusses (EDSA) zu Datenverarbeitun- Die Erstellung der Orientierungshilfe ist auf meinen gen durch Videoanlagen (vgl. 28. TB Nr. 3.2) an und Vorschlag hin initiiert worden. Grundgedanke war es, zu ergänzt diese um spezifische Verarbeitungssituationen einer einheitlichen Auffassung zur Verschlüsselung auf in Deutschland. Hierzu gehören u. a. die Abschnitte zur dem Transportweg zu kommen, um den Unternehmen Videoüberwachung in der Nachbarschaft, die daten- der Telekommunikationsbranche entsprechende ein- schutzrechtliche Bewertung von Tür- und Klingelkame- heitliche Vorgaben zu machen. Die Orientierungshilfe ras, Drohnen, Wildkameras und Dashcams. spiegelt nun ein abgestimmtes Meinungsbild der Länder Die Orientierungshilfe bietet darüber hinaus auch eine und des Bundes bei der Email-Verschlüsselung wider umfassende Darstellung der grundlegenden daten- und setzte einen Maßstab für vertrauliche Kommunika- schutzrechtlichen Erwägungen zur Videoüberwachung tion auf Transportebene. Sie kann unter www.bfdi.bund. sowie einige praxisnahe Hilfestellungen. So befinden de/orientierungshilfen heruntergeladen werden. sich im Anhang ein Muster für Hinweisschilder sowie eine Checkliste zu den wichtigsten Prüfungspunkten im 3.1.6 Initiative DSK 2.0 Vorfeld einer Videoüberwachung. Die DSK hat beschlossen, auf Leitungsebene einen „Ar- Die Orientierungshilfe kann auf meiner Homepage un- beitskreis DSK 2.0“ einzurichten, der die Zusammenar- ter www.bfdi.bund.de/orientierungshilfen, hier „Orien- beit der unabhängigen Datenschutzaufsichtsbehörden tierungshilfe Videoüberwachung durch nicht-öffentliche des Bundes und der Länder einschließlich der Arbeits- Stellen“ vom 04.09.2020 abgerufen werden. weise der DSK evaluieren und ggf. Vorschläge für eine Neugestaltung erarbeiten soll. 3.1.5 Anforderungen an eine sichere Email-Kommuni- Der AK DSK 2.0 soll vor dem Hintergrund der politischen kation Debatte um eine Zentralisierung der Datenschutzauf- Die vertrauliche Ende-zu-Ende Kommunikation per sicht und aufgrund stetig neuer datenschutzrechtli- Email findet leider weiterhin keine große Akzeptanz, da cher Fragestellungen bei einer sich immer schneller sie immer noch nicht einfach zu handhaben ist. Umso entwickelnden Technik die bisherige Arbeitsweise der wichtiger ist es, Emails zumindest bereits auf dem DSK und die Zusammenarbeit der Aufsichtsbehörden Transportweg bei den Diensteanbietern verschlüsselt überprüfen. Er soll Verbesserungspotentiale ermitteln, zu übertragen und somit vor der Einsichtnahme oder um die Zusammenarbeit auch weiterhin erfolgreich und Manipulation von Dritten auf Transportabschnitten zu eigenbestimmt zu gestalten. schützen. Hierüber trifft die in 2020 von der DSK erstell- Bürgerinnen und Bürger, Unternehmen und Verbände te Orientierungshilfe entsprechende Festlegungen zur erwarten zu Recht, dass auch unter der föderalen Struk- Kommunikation der Diensteanbieter. tur der Datenschutzaufsicht in Deutschland vergleich- Die Orientierungshilfe zeigt auf, welche Anforderungen bare Sachverhalte gleich behandelt werden und die an die Verfahren zum Versand und zur Entgegennahme Verfahren effizient und transparent ausgestaltet sind. von Email-Nachrichten durch Verantwortliche, ihre Auf- Ich setze mich deshalb im Rahmen des Arbeitskreises tragsverarbeiter und öffentliche Email-Diensteanbieter DSK 2.0 dafür ein, dass auf dem Transportweg zu erfüllen sind. Risiken, denen ruhenden Daten wie bereits empfangene Emails ausge- → schnellere und effizientere Entscheidungsprozesse setzt sind oder die durch eine Weiterverarbeitung wie der DSK etabliert werden, z. B. automatische Weiterleitungen entstehen, werden → Beschlüsse der DSK verbindlicher werden, nicht betrachtet. Diese Anforderungen richten sich nach den Vorgaben des Art. 5 Abs. 1 lit. f, 25 und 32 Abs. 1 DS- → die Aufsichtspraxis weiter harmonisiert wird und GVO. Die Orientierungshilfe nimmt den Stand der Tech- → die Verbindung zwischen den Arbeitskreisen der DSK nik zum Veröffentlichungszeitpunkt als Ausgangspunkt und den Arbeitsgruppen des Europäischen Daten- für die Konkretisierung der Anforderungen. Auch das schutzausschusses optimiert wird. Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich mit einer neuen technischen Richtlinie mit Die Arbeiten sollen bis zur 101. Datenschutzkonferenz der Thematik der verschlüsselten Email-Kommunikation im Frühjahr 2021 abgeschlossen werden. auf Transportebene auseinandergesetzt und Vorgaben

18 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 3.2 Europäischer Datenschutzaus- Datenexporteure gehen müssen, um herauszufinden, ob schuss sie zusätzliche Maßnahmen ergreifen müssen. Das ist die Voraussetzung dafür, in Übereinstimmung mit dem Der Europäische Datenschutzausschuss (EDSA) hat EU-Recht Daten in Länder außerhalb des EWR transfe- im Berichtszeitraum seine Arbeit an einer europaweit rieren zu dürfen. einheitlichen Anwendung der Datenschutz-Grundver- Der EDSA hat sich zudem für die Jahre 2021 bis 2023 eine ordnung (DSGVO) weiter intensiviert. Hierzu wurden Strategie gegeben. Leitlinien angenommen und Stellungnahmen abgege- ben. Auch die grenzüberschreitende Zusammenarbeit Leitlinien wurde weiter verstärkt. Der EDSA hat im Berichtszeitraum zahlreiche Leitlinien Der EDSA ist eine unabhängige europäische Einrich- verabschiedet, an deren Erarbeitung ich regelmäßig als tung, die zur einheitlichen Anwendung der Daten- Berichterstatter oder Mitberichterstatter mitgewirkt schutzvorschriften in der gesamten EU beiträgt und die habe. Diese wurden zum Teil zur Wahrung von Trans- Zusammenarbeit zwischen den EU-Datenschutzbehör- parenz und Beteiligung der öffentlichen Konsultation den fördert. Diese Aufgaben habe ich bereits in meinen unterzogen. beiden vorangegangenen Tätigkeitsberichten näher → Die Leitlinien 1/2020 zur Verarbeitung personenbe- erläutert. Als gemeinsamer Vertreter aller deutschen zogener Daten im Zusammenhang mit vernetzten Aufsichtsbehörden bin ich Mitglied des Ausschusses. Fahrzeugen und mobilitätsbezogenen Anwendun- Die Arbeit des EDSA wurde nach den beiden ersten gen verdeutlichen z. B. das Verhältnis zur geplanten Sitzungen im Januar und Februar von den Auswirkungen E-Privacy-Verordnung und zu Fragen der Verar- der COVID-19-Pandemie geprägt. Alle weiteren Sitzun- beitung von personenbezogenen Daten für neue gen fanden in Form von Videokonferenzen als „remo- Zwecke. te-meeting“ statt. Dabei hat der EDSA die Gesamtzahl → Die Leitlinien 2/2020 zu Artikel 46 (2) (a) und 46 (3) der Sitzungen deutlich erhöht und insgesamt 27 Mal – (b) der Verordnung 2016/679 für die Übermittlung zum Teil über zwei Tage – konferiert. personenbezogener Daten zwischen EWR- und Der Schwerpunkt der Arbeiten lag weiterhin auf der Er- Nicht-EWR-Behörden und -Einrichtungen befassen arbeitung von Leitlinien nach Art. 70 DSGVO zur einheit- sich mit internationalen Datentransfers zwischen öf- lichen Umsetzung der DSGVO in Europa. Daneben hat fentlichen Einrichtungen, die zu verschiedenen Zwe- der Ausschuss auch Stellungnahmen im Kohärenzver- cken der Verwaltungszusammenarbeit im Rahmen fahren nach Art. 64 DSGVO angenommen und eine erste der DSGVO erfolgen. Die Leitlinien gelten aber nicht formale Entscheidung im Streitbeilegungsverfahren zu für Transfers im Bereich der öffentlichen Sicherheit, einem grenzüberschreitenden Beschwerdeverfahren der Verteidigung oder der Sicherheit des Staates. (Kohärenzverfahren) gefasst. Weiterhin hat er sich mit → Die Leitlinien 3/2020 über die Verarbeitung von aktuellen datenschutzpolitischen Fragen auf internatio- Gesundheitsdaten zum Zwecke der wissenschaft- naler- und EU-Ebene befasst, u.a. zu Datenverarbeitun- lichen Forschung im Zusammenhang mit dem gen in Folge der COVID-19-Pandemie. Ausbruch von COVID-19 sollen die dringlichsten Inhaltlich wurde die Arbeit des EDSA in der zweiten Fragen in diesem Zusammenhang näher beleuchten, Jahreshälfte erheblich durch die Ergebnisse des Schrems u. a. die Rechtsgrundlage, die Einführung geeigneter II-Urteils (EuGH, Urteil vom 16. Juli 2020, Az. C-311/18) Garantien für eine solche Verarbeitung von Gesund- beeinflusst. Dieses Urteil hat die Anforderungen an Da- heitsdaten und die Ausübung der Rechte betroffener tentransfers in Drittstaaten neu geprägt4. (s. 4.3) Personen. (s.a. 6.13) Es folgten Ausarbeitungen zu unterschiedlichen Details → Die Leitlinien 4/2020 für die Verwendung von des Datentransfers. Die Empfehlungen zum Einsatz zu- Standortdaten und Tools zur Kontaktnachverfol- sätzlicher Maßnahmen („supplementrary measures“)5 gung im Zusammenhang mit dem Ausbruch von enthalten beispielsweise einen Fahrplan der Schritte, die COVID-19 klären die Bedingungen und Grundsätze

4 Erklärung zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 – Data Protection Commissioner gegen Maximillian Schrems und Facebook Ireland vom 17. Juli 2020 (https://www.bfdi.bund.de/edsa-stellungnahmen)

5 Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data (https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/recommendations-012020-measures-supplement-transfer_de)

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 19 für die verhältnismäßige Verwendung von Standort- tungsvorgänge auf die (Grund-)Rechte und Freihei- daten und Tools zur Kontaktnachverfolgung für zwei ten der betroffenen Personen anhand praktischer konkrete Anwendungen: Diese gelten für die Ver- Beispiele verdeutlichen. wendung von Standortdaten zur Unterstützung der → Die Leitlinien 9/2020 zu maßgeblichen und begrün- Reaktion auf die Pandemie durch die Modellierung deten Einwänden gem. Verordnung 2016/679 geben der Verbreitung des Virus, sodass die Wirksamkeit eine Anleitung, was unter einem „maßgeblichen und der Beschränkungsmaßnahmen insgesamt beurteilt begründeten Einspruch“ betroffener Aufsichtsbehör- werden kann. Sie finden ferner Anwendung für die den gegen Entscheidungsvorschläge der federfüh- Kontaktnachverfolgung, um Einzelpersonen darüber renden Aufsichtsbehörden in grenzüberschreitenden zu informieren, dass sie sich in unmittelbarer Nähe Aufsichtsfällen zu verstehen ist. Sie klären auch, zu einer Person aufgehalten haben, die zu einem wie zu verfahren und was bei der Beurteilung eines späteren Zeitpunkt als Träger des Virus bestätigt Einspruchs zu berücksichtigen ist. wurde. Das Ziel ist, die Infektionsketten so früh wie möglich zu unterbrechen. Stellungnahmen im Kohärenzverfahren / Entschei- dung im Kooperationsverfahren → Die Leitlinien 5/2020 zur Einwilligung gemäß Ver- ordnung 2016/679 konzentrieren sich auf die durch Im Kohärenzverfahren hat der EDSA 28 Stellungnah- die DSGVO eingetretenen Änderungen. Sie geben men verfasst. Diese betreffen zum großen Teil durch praktische Hinweise für die Einhaltung der Vorga- Mitgliedstaaten vorgelegte verbindliche interne Daten- ben der DSGVO zur Einwilligung auf Grundlage der schutzvorschriften (Art. 47 DSGVO), Standardvertrags- Stellungnahme 15/2011 der Artikel-29-Arbeitsgruppe klauseln (Art. 48 Abs. 8 DSGVO) oder die Akkreditierung (Vorgänger des EDSA). Hier bestand u. a. Klärungsbe- von Zertifizierungsstellen (Art. 43 Abs. 3 DSGVO) bzw. darf in Bezug auf die Gültigkeit der Einwilligung bei Stellen zur Überwachung der Einhaltung von Verhal- der Interaktion mit so genannten „Cookie-Walls“ und tensregeln (Art. 41 DSGVO). zur Einwilligung beim Scrollen. (s.a. 3.2.2) In meinem letzten Tätigkeitsbericht habe ich darauf → Die Leitlinien 6/2020 zum Zusammenspiel der hingewiesen, dass noch in keinem großen grenzüber- zweiten Zahlungsdienste-Richtlinie und der DSGVO schreitenden Fall, der weltweit führende Tech-Unter- zielen darauf ab, weitere Hinweise zu Datenschutzas- nehmen betrifft, ein Entwurf für eine Entscheidung der pekten im Kontext der PSD2 (Payment Services Di- federführenden nationalen Aufsichtsbehörde ergangen rective2) zu geben, insbesondere zum Verhältnis der ist. Ein erster solcher Entwurf liegt inzwischen vor und einschlägigen Bestimmungen der DSGVO und der ist bereits zum Gegenstand eines Einspruchsverfahrens PSD2. Der inhaltliche Schwerpunkt dieser Richtlini- nach Art. 60 Abs. 4 DSGVO geworden, an dem sich auch en liegt auf der Verarbeitung personenbezogener Da- deutsche Aufsichtsbehörden beteiligt haben. Der EDSA ten durch Anbieter von Kontoinformationsdiensten hat im November 2020 zum ersten Mal formal über (Account Information Service Provider) und Anbieter einen solchen Einspruch entschieden. von Zahlungsauslösediensten (Payment Initiation EDSA-Strategie 2021-2023 Service Provider). Neben seinem Arbeitsprogramm hat der EDSA eine → Die Leitlinien 7/2020 zu den Begriffen „Verantwort- Strategie für den Zeitraum von 2021 bis 2023 aufgestellt. licher“ und „Auftragsverarbeiter“ in der DSGVO Diese steht auf vier Säulen: Die erste Säule beinhaltet die haben das Hauptziel, die Bedeutung der Begriffe Förderung der Harmonisierung und die Erleichterung zu klären und die verschiedenen Rollen und die der Rechtskonformität (Compliance). Dazu strebt der Verteilung der Verantwortlichkeiten zwischen diesen EDSA ein Höchstmaß an Konsistenz bei der Anwendung Akteuren zu verdeutlichen. (s.a. 3.2.1) der Datenschutzvorschriften und eine Begrenzung → Die Leitlinien 8/2020 bezüglich der Zielgruppenan- der Fragmentierung unter den Mitgliedstaaten an. Die sprache von Social-Media-Nutzern sollen vor dem zweite Säule zielt auf die Unterstützung einer effektiven Hintergrund mehrerer EuGH-Urteile (EuGH, Urteil Durchsetzung und einer effizienten Zusammenarbeit vom 05. Juni 2018, Az. C-210/16 und Urteil vom 29. zwischen nationalen Aufsichtsbehörden. Hierfür sollen Juli 2019, Az. C-40/17) die Verteilung der Rollen und u. a. interne Prozesse optimiert, Fachwissen gebündelt Verantwortlichkeiten zwischen Social-Media-Platt- und eine verbesserte Koordination gefördert werden. formen und Unternehmen oder anderen Organisa- Die dritte Säule formuliert einen grundrechtlichen tionen, die Targeting-Funktionen dieser Social-Me- Ansatz für neue Technologien. Dies beinhaltet z. B. die dia-Plattformen nutzen, klarstellen. Außerdem sollen Bewertung neuer Technologien wie KI, Biometrie oder sie die Auswirkung der jeweiligen Datenverarbei- Profiling. Die vierte Säule stellt die globale Dimension

20 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 dar. Der EDSA ist entschlossen, das hohe EU-Daten- von Internetseiten überarbeitete Fassung der Leitlini- schutzniveau auch über die Grenzen der EU hinaus en zur Einwilligung nach DSGVO verabschiedet. Zum bei der Entwicklung globaler Standards zu befördern. einen stellte der EDSA klar, dass das bloße Scrollen oder Mit meiner Wahl in das Executive Comittee der Global Weitersurfen auf einer Internetseite in keinem Fall eine Privacy Assembly (GPA) habe ich hierfür bereits die Wei- wirksame Einwilligung ist. Hier fehlt es an einer eindeu- chen gestellt.6 Dementsprechend haben die Vorsitzende tig bestätigenden Handlung. Zum anderen enthalten die des EDSA und mehrere Mitglieder ihre Unterstützung Leitlinien nunmehr einen deutlichen Hinweis, dass der zum Ausdruck gebracht und die Bedeutung einer engen Zugang zu einem Online-Service nicht von der Erlaubnis Zusammenarbeit mit der GPA betont. in das Setzen von Cookies (sog. Cookie Walls) abhängig gemacht werden darf. Bei Webseiten, die durch ihren Querverweise: Aufbau den Nutzenden auf diesem Wege Tracking auf- 4.3 Schrems II, 3.3 Global Privacy Assembly nötigen, fehlt es an der Freiwilligkeit der Einwilligung. Ausnahmsweise sind Cookie-Walls dann zulässig, wenn 3.2.1 Bericht aus der Key Provisions Expert Subgroup ein vergleichbarer Dienst auch ohne Tracking angeboten wird, beispielsweise als zahlungspflichtiger Dienst. Die Key Provisions Expert Subgroup (KEYP) des EDSA hat sich auch 2020 mit wichtigen grundsätzlichen Als Mitglied des EDSA habe ich der Überarbeitung der Fragestellungen zur Auslegung der DSGVO befasst. Sie Leitlinien zugestimmt und wünsche mir, dass Verant- konnte die Beratungen der Leitlinien zu den Begriffen wortliche daraus die richtigen Schlüsse ziehen und end- „Verantwortlicher“ und „Auftragsverarbeiter“ sowie lich datenschutzfreundliche Alternativen anbieten. Die eine Überarbeitung der Leitlinien zur Einwilligung be- Cookie-Thematik spielt auch bei dem Gesetzgebungs- treffend „Cookie Walls“ und „Scrollen als Zustimmung“ verfahren zur E-Privacy Verordnung eine Rolle (s. 5.10). abschließen. Die Arbeit an anderen bedeutenden Dos- Die überarbeiteten Leitlinien zur Einwilligung sind in siers dauert an. englischer Sprache auf der Webseite des EDSA abrufbar und werden nach der Übersetzung ins Deutsche auch Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ über den Internetauftritt der DSK zu finden sein. und „Auftragsverarbeiter“ Laufende Arbeiten Für die Anwendung der DSGVO ist es von zentraler Be- deutung, ob ein Akteur als alleiniger Verantwortlicher, Nach dem Arbeitsplan des EDSA werden in der KEYP gemeinsamer Verantwortlicher oder als Auftragsver- Leitlinien zu den Betroffenenrechten erarbeitet. In arbeiter tätig ist. Die Leitlinien geben daher wichtige einem ersten Schritt geht es um das Recht auf Auskunft Hinweise, wie diese Begriffe voneinander abzugrenzen nach Art. 15 DSGVO. Das Dossier soll Hilfestellung leis- sind. Diese Hinweise werden durch praktische Anwen- ten bei den zahlreichen, in der Anwendungspraxis sehr dungsfälle ergänzt (Teil 1 der Leitlinien). wichtigen Fragestellungen. Das betrifft die Reichweite des Rechts auf Kopie (Art. 15 Abs. 3 DSGVO) sowie Aus- Im zweiten Teil der Leitlinien werden die Beziehungen nahmen und Grenzen des Auskunftsrechts (Art. 15 Abs. gemeinsamer Verantwortlicher untereinander sowie 3 DSGVO, Art. 12 Abs. 5 DSGVO). Im Berichtszeitraum zwischen Verantwortlichem und Auftragsverarbeiter wurden erste Entwürfe beraten und Vorentscheidungen näher beleuchtet und insbesondere die rechtlichen zu einigen Weichenstellungen getroffen. Die Verabschie- Auswirkungen dargestellt. Für die Praxis dürfte beson- dung der Leitlinien zu den Betroffenenrechten / Recht ders der Anhang der Leitlinien interessant sein. Dieser auf Auskunft, bei denen ich mich gemeinsam mit der enthält ein Flow-Chart, das es den beteiligten Akteuren LDI NRW als Co-Berichterstatter einbringe, ist im Jahr ermöglichen soll, ihre Rolle zu prüfen. 2021 zu erwarten. Die öffentliche Konsultation der Leitlinien endete im Inzwischen hat innerhalb der KEYP auch eine Arbeits- Oktober 2020. Mit einer Veröffentlichung des endgülti- gruppe zur Erstellung der Leitlinie zur Rechtsgrundlage gen Textes wird Anfang 2021 gerechnet. des „berechtigten Interesses“ nach Art. 6 Abs. 1 lit. Aktualisierte Leitlinien 05/2020 zur Einwilligung nach f) DSGVO ihre Arbeit aufgenommen. Diese Leitlinie DSGVO erfährt große Aufmerksamkeit in der Fachöffentlichkeit. Die zugrunde liegende Norm der DSGVO wurde weitge- Der EDSA hat nach entsprechenden Vorarbeiten der hend offen formuliert und zuweilen missverständlich KEYP eine in Bezug auf die Einwilligung bei der Nutzung als „Gummiparagraph“ interpretiert. Sie wurde sogar als

6 “BfDI in Executive Comitee der Global Privacy Assembly gewählt”, Pressemitteilung vom 16.Oktober 2020 (www.bfdi.bund.de/pressemitteilungen)

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 21 vermeintliche Rechtsgrundlage für besonders risikorei- für Datenübermittlungen in Drittstaaten zu überarbei- che Datenverarbeitungen herangezogen, was mit dieser ten. Norm allerdings unvereinbar ist. Ich bin gemeinsam mit Die Europäische Kommission bewertet in ihrem Evalua- dem LfDI Baden-Württemberg sowie dem LfDI Meck- tionsbericht vom 24. Juni 2020 die DSGVO insgesamt lenburg-Vorpommern als Co-Berichterstatter an der als Erfolg. Wesentliche Ziele der DSGVO seien erreicht Ausarbeitung beteiligt. Die Leitlinie zum berechtigten worden. Die Kommission unterstützt die Forderung Interesse wird das Working Paper 217 aus dem Jahre nach angemessener Ausstattung der Aufsichtsbehörden 2014 der Artikel 29-Gruppe (Stellungnahme 6/2014) erset- sowohl in finanzieller als auch in personeller Hinsicht. zen. Ich werde mich dafür einsetzen, dass die Leitlinie Die bürokratische Entlastung bei KMU, deren Daten- die vorhandenen Probleme der Praxis möglichst konkret verarbeitungen nicht mit hohen Risiken verbunden aufgreift und diese Rechtsgrundlage sich nicht als be- sind, soll zumindest geprüft werden. Zudem wird die liebiger Auffangtatbestand für ansonsten nicht haltbare Ausbaufähigkeit des Rechts auf Datenübertragbarkeit Datenverarbeitungen erweist. (bis hin zum real-time Datenaustausch) als zentrales Querverweis: Betroffenenrecht hervorgehoben. Die fortbestehende Fragmentierung innerhalb des Geltungsbereichs der 5.10 Aktuelle Gesetzgebung und sonstige Regelungen im DSGVO aufgrund der Nutzung von Öffnungsklauseln Telekommunikationsbereich, E-Privacy Verordnung durch die nationalen Gesetzgeber sieht die Kommission als problematisch an. 3.2.2 Evaluierung der DSGVO: Die erste Runde ist abge- schlossen Kein aktueller Änderungsbedarf

Zum Stichtag 25. Mai 2020 hatte die Europäische Kom- Insgesamt sieht die Europäische Kommission keinen mission eine Evaluierung der DSGVO durchzuführen. Bedarf, die DSGVO durch konkrete Änderungen anzu- Hierfür hatte sie den EDSA konsultiert. Insgesamt passen. Die nächste Evaluierung ist nach Art. 97 Abs. 1 zieht die Kommission eine positive Bilanz der DSGVO. DSGVO für das Jahr 2024 angesetzt. Bis dahin müssen die Gleichwohl erkennt sie Verbesserungsbedarf in der Aufsichtsbehörden weiterhin ihren Beitrag zur notwen- praktischen Umsetzung. digen datenschutzpolitischen Debatte leisten.

Die Europäische Kommission legte gem. Art. 97 Abs. Auch ich halte zum jetzigen Zeitpunkt umfangreiche 1 DSGVO dem Europäischen Parlament und dem Rat gesetzliche Änderungen an der DSGVO für verfrüht. Der einen Bericht über die Bewertung und Überprüfung der EDSA erarbeitet Leitlinien zu verschiedenen Thema- DSGVO vor. Dazu hatte sie nach Art. 97 Abs. 3 DSGVO tiken, woran ich mich intensiv beteilige. Hierdurch beim EDSA Informationen angefordert. Die DSK hatte soll eine einheitliche Rechtsanwendung im Rege- dem EDSA ihren Erfahrungsbericht zur Anwendung der lungsbereich der DSGVO gewährleistet werden. Ein DSGVO, dessen Inhalt ich in meinem letzten Tätigkeits- europäischer Flickenteppich wird dadurch vermieden. bericht bereits detailliert vorgestellt habe (vgl. 28. TB Nr. Insgesamt ist die DSGVO ein großer Fortschritt für den 4.1), zugeleitet. Datenschutz in Europa. Das neue Regelwerk hat sich auch in Zeiten der Corona-Pandemie bewährt. Auch Am 18. Februar 2020 hat der EDSA den gemeinsamen über die europäischen Grenzen hinweg dient die DSGVO Antwortbeitrag zur Evaluierung der DSGVO beschlossen. als moderne Grundlage für die Anpassung des Daten- Er betont die Bedeutung der DSGVO für den Schutz und schutzrechts. Trotz der großen Fortschritte sehe ich die Stärkung des Grundrechts auf Datenschutz innerhalb durchaus Bedarf für Verbesserungen bei der praktischen der EU. Insgesamt sieht der EDSA in der DSGVO ein ge- Umsetzung der DSGVO. Das gilt insbesondere im Bereich lungenes europaweit einheitliches Regelungswerk. Auch der Zusammenarbeit der Datenschutzaufsichtsbehörden wenn er gegenwärtig keinen Bedarf für eine kurzfristige in grenzüberschreitenden Verfahren. Unterschiede in Revision erkennt, zeigt er in verschiedenen Bereichen den nationalen Verwaltungsverfahren dürfen die effek- Verbesserungsbedarf auf. So betont er die Notwendigkeit tive Durchsetzung der DSGVO gegenüber Datenschutz- bürokratischer Erleichterungen für kleine und mittlere verstößen international agierenden Unternehmen nicht Unternehmen (KMU). Er verlangt zudem für eine effek- beeinträchtigen. tive Durchführung des One-Stop-Shop-Mechanismus die angemessene Ausstattung der Aufsichtsbehörden mit den dazu erforderlichen Ressourcen. Im Hinblick auf den internationalen Datenverkehr hebt der EDSA die Bedeutung der Angemessenheitsbeschlüsse der Europä- ischen Kommission hervor. Er fordert die Kommission auf, die Beschlüsse über EU-Standardvertragsklauseln

22 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 3.2.3 Gesichtserkennung – Nutzen und Grenzen Strafverfolgungsbehörden zu erarbeiten. Hiervon ist nicht nur die voran genannte Live-Überwachung Was passiert mit einer Gesellschaft, wenn ihre Mitglie- umfasst, sondern auch andere Anwendungen. Ich freue der beim Aufenthalt im öffentlichen Raum regelmäßig mich, an den Richtlinien als einer der Berichterstatter von der Polizei kontrolliert werden? An Plätzen, Bahn- maßgeblich mitwirken zu können. höfen und Verkehrsknotenpunkten, jeden Tag? Ohne dafür einen Anlass gegeben zu haben? Stellungnahme zu Clearview AI

Dieses Szenario ist keine Beschreibung der Zustände Zur Identifizierung von Personen bietet sich für Strafver- in fernen, autoritär geführten Ländern. Es betrifft folgungsbehörden auch die Durchforstung des Internets Europa. Es betrifft Deutschland. Sicherheitsbehörden an. Hierauf spezialisierte Unternehmen analysieren mit in Europa, im Bund und in den Ländern möchten sich ihrer Gesichtserkennungssoftware riesige Mengen an die Vorteile biometrischer Gesichtserkennung zu Nutze Fotos, die Menschen z. B. in sozialen Netzwerken geteilt machen. Diskutiert wird, hierfür immer mehr Überwa- haben. Aber auch Fotos auf Webseiten des Arbeitgebers chungskameras einzusetzen. Diese sind bereits jetzt an sind betroffen. Zahlreiche Sicherheitsbehörden welt- zahlreichen öffentlichen Plätzen und Bahnhöfen auf die weit haben bereits derartige Leistungen in Anspruch Menschen gerichtet (vgl. 27. TB Nr. 9.3.3 und 28. TB Nr. genommen. 6.2). Die Vorgänge um das Unternehmen Clearview AI Für die Sicherheitsbehörden bietet sich die Möglichkeit, führten zu einer Anfrage von mehreren Mitgliedern des Gesichter der Passantinnen und Passanten in Echtzeit, EU-Parlaments. Im EDSA wurde daraufhin eine gemein- also „live“, mit Fahndungslisten abzugleichen. Sie kön- same Stellungnahme erarbeitet, an der ich als Berichter- nen Details über die Lebensumstände von Verdächtigen statter mitgewirkt habe. sammeln sowie verdeckte Ermittlungen und Festnah- Der EDSA verweist in seiner Stellungnahme darauf, dass men durchführen. sich eine solche Datenverarbeitung wesentlich von be- Ein solches Vorgehen wirft grundsätzliche Fragen auf. hörden-internen Bildabgleichen unterscheidet. Private Der geschilderte Live-Abgleich ist das Gleiche wie eine Unternehmen führen hier - quasi als Hilfspersonen - den Polizeikontrolle aller Personen, die einen Ort passieren Datenabgleich durch. Unklar ist auch die Art und Weise oder sich dort aufhalten. Es wäre dasselbe, wenn jede der Erstellung der Datenpools und deren Rechtmäßig- Person am Eingang eines Bahnhofs ihren Fingerab- keit. Die Verarbeitung der so gewonnenen Daten in druck abgeben müsste, um diesen mit polizeilichen einem Drittstaat, wie den USA, sehe ich kritisch. Listen abzugleichen. Dann ist jede Person verdächtig. Der EDSA verlangt eine politische Auseinandersetzung Die Entlastung gelingt ihr nur über einen Nicht-Treffer über die Rolle von Technologien wie der Gesichtser- beim Abgleich mit den Listen. Die vom Bundesverfas- kennung, insbesondere deren Auswirkungen auf die sungsgericht verbürgte Vermutung, dass Bürgerinnen Grundrechte. Dieser Einschätzung schließe ich mich mit und Bürger grundsätzlich rechtschaffen sind, wird in ihr Nachdruck an. Gegenteil verkehrt.

Die Anwendung einer solchen Technologie betrifft un- 3.2.4 Genehmigung und Veröffentlichung der (deut- mittelbar die Privatsphäre des Individuums. Die Techno- schen) Akkreditierungskriterien zu Überwachungsstel- logie bedroht aber auch die Funktionsweise der Demo- len nach Art. 41 DSGVO kratie. Denn die Annahme, sich im öffentlichen Raum Die deutschen Akkreditierungskriterien für Überwa- anonym bewegen zu können, ist für viele Menschen chungsstellen eines Codes of Conduct sind vom EDSA Grundvoraussetzung für eine Teilnahme an Demonst- gebilligt und auf der Webseite der DSK veröffentlicht rationen, politisches Engagement und die Bildung von worden. Opposition. Das Wissen, regelmäßig staatlich erfasst zu werden, hat einen einschüchternden und entmutigen- Nach Art. 57 Abs. 1 lit. p DSGVO muss jede Aufsichtsbe- den Effekt. Darunter leiden Selbstbestimmung und Viel- hörde in ihrem Hoheitsgebiet die Anforderungen an die falt. Diese sind aber grundlegende Voraussetzungen für Akkreditierung einer Stelle für die Überwachung der das Funktionieren eines auf Pluralität und Mitwirkungs- Einhaltung von Verhaltensregeln gem. Art. 41 DSGVO, fähigkeit seiner Bürgerinnen und Bürger begründeten sogenannte Codes of Conduct, abfassen und veröf- freiheitlichen demokratischen Gemeinwesens. fentlichen. Zuvor müssen diese gem. Art. 64 Abs. 1 S. 2 lit. c i. V. m. Art. 41 Abs. 3 DSGVO im Rahmen eines EDSA-Richtlinien Kohärenzverfahrens vom EDSA gebilligt werden. Codes Ich begrüße den Entschluss des EDSA, Richtlinien zur of Conduct „präzisieren“ die DSGVO, die teilweise sehr Nutzung von Gesichtserkennungstechnologie durch abstrakte Regelungen und eine Vielzahl von General-

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 23 klauseln enthält. Codes of Conduct können hier als schutzpolitischen Herausforderungen der Pandemie zu Auslegungshilfen herangezogen werden. reagieren.

Das Kohärenzverfahren und die damit verbundene Das Executive Committee hat zwei Statements zur Ge- Stellungnahme des EDSA zu dem nationalen Entwurf währleistung des Datenschutzes auch unter den Bedin- von Akkreditierungsanforderungen dienen gem. Art. 63 gungen der Pandemie herausgegeben. Das sind eine all- DSGVO der einheitlichen Anwendung der Art. 40 und 41 gemeine Erklärung vom März 2020 sowie ein Statement DSGVO durch alle Mitgliedstaaten der EU. zur datenschutzgerechten Kontaktnachverfolgung vom Mai 2020. Darüber hinaus hat das Executive Committee Ich hatte bereits die europäischen „Leitlinien 1/2019 als Steuerungsgremium der GPA eine COVID-19-Task- über Verhaltensregeln und Überwachungsstellen gemäß force eingesetzt, die sich im Verlauf des Jahres mit der der Verordnung (EU) 2016/679“ mit entwickelt. Diese Sicherstellung des Datenschutzes unter den besonderen Leitlinien sollen praktische Hinweise und Auslegungs- Bedingungen der Pandemie beschäftigt hat. hilfen zur Anwendung der Art. 40 und 41 der DSGVO ge- ben und die Vorschriften und das Verfahren zur Einrei- Gerne habe ich in dieser Taskforce mitgewirkt und dabei chung, Genehmigung und Veröffentlichung von Codes besonders meine Erfahrungen aus der datenschutz- of Conduct auf nationaler und europäischer Ebene rechtlichen Begleitung der deutschen Corona-Warn-App erläutern. Die Leitlinien sehen u. a. vor, dass ein Code of eingebracht. Im Rahmen der Bekämpfung der CO- Conduct (für den nicht-öffentlichen Bereich) eine akkre- VID-19-Pandemie war bereits recht früh, zuerst in asi- ditierte Überwachungsstelle festlegt. Diese kontrolliert atischen Ländern wie Singapur, Südkorea und Taiwan, (neben der zuständigen Datenschutzaufsichtsbehörde), aufgefallen, dass Applikationen für Mobilfunkgeräte als ob die Mitglieder, die sich dem Code of Conduct unter- geeignete Hilfsinstrumente für die Kontaktnachverfol- worfen haben, dessen Vorgaben einhalten. gung in Frage kommen könnten. Mit der Entwicklung entsprechender Software-Anwendungen wurde dann Die deutschen Akkreditierungskriterien für Über­ unverzüglich begonnen. Die gesammelte Expertise der wachungs­stellen eines Codes of Conduct wurden vom COVID-19-Taskforce floss schließlich in ein umfassendes EDSA gebilligt. Sie sind auf der Webseite der DSK veröf- „Best Practice Compendium“ ein, das den Mitgliedern fentlicht. der GPA zur Verfügung gestellt wurde. Ich habe zudem an den Stellungnahmen des EDSA zu Ich freue mich, dass unser jährliches Treffen der den Akkreditierungskriterien für Überwachungsstellen GPA-Mitglieder im Herbst 2020 dank der Bemühungen von Codes of Conduct von zehn weiteren EU-Mitglied- des Vorsitzes und des Sekretariats der GPA noch als staaten mitgewirkt. gemeinsame Videokonferenz stattfinden konnte. Das erste Treffen dieser Art hatte 1979 in Bonn unter der 3.3 Global Privacy Assembly Bezeichnung Internationale Datenschutzkonferenz stattgefunden. Die Global Privacy Assembly (GPA), bis 2019 „Internatio- Die Vorbereitung einer solchen digitalen globalen Veran- nal Conference of Data Protection and Privacy Commis- staltung begegnet erheblichen praktischen Schwierigkei- sioners“, hat sich 2020 u.a. mit den Herausforderungen ten. So muss eine für Teilnehmer von Chile im Westen der COVID-19-Pandemie für den Datenschutz beschäf- bis Neuseeland im Osten geeignete Uhrzeit gefunden tigt. Erstmals wurde mit dem BfDI ein deutscher Vertre- werden, denn irgendwo ist es immer schon sehr früh ter in das „Executive Committee“ der GPA gewählt. oder sehr spät. Wie viele andere internationale Organisationen oder Das virtuelle Jahrestreffen 2020 hat sich nicht nur mit Vereinigungen wurde auch die GPA mit ihren mehr der COVID-19-Pandemie befasst. Es wurden auch Ent- als 120 Datenschutzbehörden aus aller Welt von der schließungen zu wichtigen Zukunftsthemen angenom- COVID-19-Pandemie in Mitleidenschaft gezogen. Dies men, z. B. zur KI (Artificial Intelligence/AI) oder zur Ge- zeigte sich bei der Arbeitsweise der GPA selbst wie auch sichtserkennung (Facial Recognition). In beiden Fällen bei der Behandlung von Fachthemen. Bereits im Früh- verlangt die GPA, dass für die Betroffenen Transparenz jahr 2020 war klar geworden, dass die für den Herbst über Art und Umfang der Verarbeitung personenbezo- geplante Konferenz in Mexiko-Stadt nicht wie geplant gener Daten gewährleistet sein muss. Es darf auch keine stattfinden kann. Mit Unterstützung des Sekretariats und rein maschinellen Entscheidungen über Menschen insbesondere unter Leitung des GPA-Vorsitzes meiner geben. Das ist nicht allein zum Schutz der personenbe- britischen Kollegin, Elizabeth Denham, ist es der GPA zogenen Daten wichtig, sondern auch zur Vermeidung jedoch gelungen, zügig und mit Erfolg auf die daten- systemimmanenter Diskriminierungen.

24 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Die GPA hat ihren Weg hin zu einer besser strukturierten Committee mit dem EDSA anstreben. Auf diese Weise Organisationsform fortgesetzt. Ihre Mitglieder haben es möchte ich zu einer weiteren Harmonisierung des Da- dem Executive Committee erlaubt, künftig auch außer- tenschutzes auch auf globaler Ebene beitragen. halb des jährlichen Treffens Beschlüsse oder Entschlie- Die Konferenz 2021 soll nach aktueller Planung in ßungen zur Annahme vorzulegen. Dadurch soll die GPA Mexiko als Präsenzveranstaltung stattfinden. Ich danke als Organisation auf aktuelle datenschutzrechtlich rele- meinem Kollegen in Mexiko für seine Bereitschaft, die vante Themen und Ereignisse besser reagieren können. GPA-Konferenz auch ein Jahr später als Gastgeber auszu- Als erstes deutsches Mitglied wurde ich auf dem Treffen richten. in das Executive Committee der GPA gewählt. Für die Die Statements, Entschließungen und weitere Dokumente breite Unterstützung, die ich bei dieser einstimmigen der GPA finden sich unter www.globalprivacyassembly.org. Wahl aus den Reihen meiner Kolleginnen und Kollegen in der GPA erfahren durfte, danke ich ausdrücklich. In Querverweise: den kommenden zwei Jahren werde ich sowohl die breit 3.2 EDSA, 4.1.1 Corona-Warn-App gefächerte Erfahrung deutscher Datenschutzbehörden einbringen und eine Verknüpfung des GPA Executive

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 25 4 Schwerpunktthemen

4.1 Corona zwischen Nutzerinnen und Nutzern der App unter Ver- wendung des Bluetooth-Standards. Bei einem positiven Die Corona-Pandemie prägte das ganze Jahr 2020 – auch COVID-19-Testbefund können Nutzerinnen und Nutzer im Datenschutz. Beratung und Information waren nicht sehr schnell ihre Kontakte über die Corona-Warn-App nur im Zusammenhang mit der Entwicklung von Apps warnen, ohne dabei ihre Identität offenlegen zu müs- notwendig und zeitaufwändig, sondern auch für die sen. Die so gewarnten Kontaktpersonen haben dann datenschutzkonforme Ausgestaltung von Gesetzen und die Möglichkeit, sich an Ärzte und Gesundheitsämter zu Verordnungen oder die Nutzung von Videokonferenz- wenden und sich selbst testen zu lassen. Durch ihr um- systemen. Nachfolgend sind einige der Beratungspunkte sichtiges Verhalten leisten die gewarnten Kontaktperso- rund um die Pandemiebekämpfung dargestellt. nen einen effektiven Beitrag zur Vermeidung weiterer Infektionen. 4.1.1 Die Corona-Warn-App der Bundesregierung Das Projekt CWA habe ich von Beginn an in beratender Die Corona-Warn-App (CWA) der Bundesregierung Funktion begleitet und nehme auch die Datenschutzauf- wurde am 16. Juni 2020, nach etwas mehr als zwei sicht über das Projekt des RKI wahr. Monaten Entwicklungszeit, durch das Robert Koch- Institut (RKI) veröffentlicht. Als Contact-Tracing-App Datenschutz als Erfolgsfaktor ermöglicht sie die datenschutzfreundliche Erfassung Um effektiv wirken zu können, ist die CWA auf die Un- von möglicherweise infektionsrelevanten Begegnungen terstützung durch große Teile der Bevölkerung angewie-

26 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 sen. Der Datenschutz ist ein wesentlicher Faktor für die werden, die eine Identifikation der Anruferinnen und Akzeptanz bei solchen digitalen Lösungen. Die ver- Anrufer ermöglichen. gleichsweise hohe Zahl von gut 25 Millionen Downloads Im Rahmen der Datenschutzaufsicht habe ich daher be- zeigt, dass dies auch bei der CWA der Fall ist. So gilt das sonderes Augenmerk auf die frühzeitige Prüfung dieser französische Pendant, das einen weniger datenschutz- Hotline gelegt. Dabei stellte ich geringe Mängel bei der freundlichen Ansatz mit zentraler Datenverarbeitung Zutrittskontrolle fest. verfolgt, mit nur rund 2 Millionen Downloads bei noch geringerer Nutzung bereits als gescheitert. Erfreulicherweise ist es dem RKI gelungen, diese Mängel zeitnah zu beheben. Das Problem der fehlenden Labor­ Ein solcher zentraler Ansatz wie z.B. in Frankreich anbindungen ist aber auch jetzt noch nicht gelöst. Der wurde zuerst auch in Deutschland und weiteren Staaten aus Sicht des Datenschutzes problematische Medien- durch die multinationale Initiative PEPP-PT (Pan-Euro- bruch besteht weiter fort. pean Privacy-Preserving Proximity Tracing) diskutiert. Nach kritischer Bewertung von Seiten der Wissenschaft, Ein Blick in die Zukunft Zivilgesellschaft und Datenschützern wurde die Umset- Zum Redaktionsschluss war noch kein Ende der CO- zung dieses Ansatzes aber Ende April 2020 durch die VID-19-Pandemie absehbar. Zuletzt laut gewordene Bundesregierung schließlich verworfen. Stattdessen Kritik an mangelnden Fähigkeiten und Funktionen der wurde ab diesem Zeitpunkt der nun verwendete dezent- CWA war teils berechtigt, oft aber auch auf Unwissenheit rale Ansatz konsequent umgesetzt. Das Vorhaben wurde über die bewusst gewählte Zielsetzung und die Grenzen dabei durch sinnvolle Maßnahmen, wie die Entwicklung der technischen Möglichkeiten des gewählten Ansatzes in einem überaus transparenten Open-Source-Verfah- zurückzuführen. So wurde die CWA zum Beispiel ganz ren, flankiert. Die allgemeine Kritik an der Verwendung bewusst für den Zweck des datensparsamen Contact-Tra- des von Apple und Google bereitgestellten Protokolls cing (Rückverfolgung) entwickelt. Deshalb wurde ein Google/Apple Exposure Notifications, insbesondere der Contact-Tracking (Verfolgung) nicht geplant und ist Vorwurf eines unberechtigten Abgreifens von Daten, technisch in dieser App nicht möglich. wurde bislang nicht durch nachvollziehbare Belege untermauert. In der Gesamtschau lässt sich festhalten, Ungeachtet dessen besteht selbstverständlich Potenzial dass mit der CWA eine grundsätzlich datenschutzfreund- für eine Weiterentwicklung der CWA. Ideen wie eine liche Umsetzung des dezentralen Contact-Tracing-Ansat- Clustererkennung sind sinnvoll und möglich. Schade ist zes gelungen ist. nur, dass ich als zuständige Datenschutzaufsicht von vie- len dieser Überlegungen erst spät aus der Presse erfuhr. Problematischer Medienbruch Hier wäre eine zeitnahe Einbindung seitens der Verant- Dem positiven Eindruck der Kernanwendung in Form wortlichen in die Planungen geeigneter. der CWA gegenüber steht leider das problembelade- Mit dem Ende der COVID-19-Pandemie wird auch der ne, aber für deren praktischen Einsatz unabdingbare Einsatz der CWA enden. Die dabei gewonnenen Erkennt- Betriebsumfeld. So war bereits zum Start der CWA klar, nisse, wie derartige Lösungen auf freiwilliger Basis dass mangels der hierfür erforderlichen technischen effektiv und datenschutzfreundlich umsetzbar sind, Ausstattung längst nicht alle beteiligten Labore in der sollten bei eventuellen zukünftigen Projekten Berück- Lage sein würden, ihre Testergebnisse für die Nutzerin- sichtigung finden. nen und Nutzer der App bereitzustellen. Weitere Informationen zum Thema finden Sie auch in So konnten die Nutzerinnen und Nutzer, deren Tests von der Guideline des EDSA vom 21. April 2020, die Sie unter diesen Laboren ausgewertet wurden, den datenschutz- www.bfdi.bund.de/guidelines abrufen können. freundlichen Workflow zur Ergebnisbereitstellung in der CWA nicht nutzen und ihre Kontakte bei einem positiven 4.1.2 Die Datenspende-App Befund nicht direkt warnen. Stattdessen musste für diese Fälle ein alternativer Prozess unter Verwendung Mit der App Corona-Datenspende analysiert das sogenannter „Tele-TANs“ etabliert werden. Um diese Robert Koch-Institut (RKI) freiwillig bereitgestellte Tele-TAN zu erhalten, müssen sich die positiv geteste- Daten aus Fitness-Trackern von inzwischen mehr als ten Nutzerinnen und Nutzer an eine Freischalt-Hotline 500.000 Bürgerinnen und Bürgern. Dazu verarbeitet wenden. das RKI insbesondere auch Gesundheitsdaten, die als besondere Kategorie personenbezogener Daten gelten. Dieser unerwünschte Medienbruch bei der App-Nutzung Mit den Erkenntnissen aus der Analyse dieser Daten stellt ein Datenschutzrisiko dar, insbesondere da bei der beabsichtigt das RKI, die Vorhersage von Erkrankungen Hotline kurzzeitig personenbezogene Daten vorgehalten wie COVID-19 zu optimieren. Dadurch soll eine bessere

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 27 Steuerung von Eindämmungsmaßnahmen gegen die 4.1.3 Corona-Maßnahmen und -Projekte derzeitige Pandemie ermöglicht werden. Datenschutz in Zeiten von Corona: Wie lässt sich ver- Inmitten der Diskussion über die Einführung einer hindern, dass der Datenschutz zum prominenten Opfer Corona-Tracing-App veröffentlichte das RKI am 7. April der Pandemie wird? Vertrauen ist für die Akzeptanz 2020 die Corona-Datenspende-App. Mit der überraschen- der Nutzer digitaler Anwendungen elementar. Deshalb den Veröffentlichung dieser zusätzlichen App sorgte das berate ich bei der Entwicklung und Entstehung solcher RKI nicht nur in der breiten Öffentlichkeit für Verwir- Anwendungen, bin allerdings keine Genehmigungsbe- rung. hörde.

Auch ich wurde mit nur wenigen Tagen Vorlaufzeit sehr Zur Bewältigung der Corona-Pandemie hat das Bundes- kurzfristig eingebunden. In meiner Ersteinschätzung ministerium für Gesundheit (BMG) eine Vielzahl von konnte ich das RKI zu einigen, für den Datenschutz Projekten entwickelt und gefördert. Bereits im Frühjahr wesentlichen Aspekten, beraten. Eine fertige Version der kam der im BMG zuständige Projektmanager auf mich Corona-Datenspende-App lag aber auch mir bis zu deren zu und bat um meine Unterstützung. Da ich ein großes Veröffentlichung im April nicht vor. Interesse daran habe, dass angesichts der besonderen Umstände und des hohen Zeitdrucks der Schutz per- Mit der Veröffentlichung dieser ersten staatlichen Coro- sonenbezogener Daten im Blick bleibt, habe ich gerne na-App stieß das RKI auf breite Resonanz in der Zivil- zugesagt, mich mit den jeweiligen Maßnahmen und gesellschaft. Deren Engagement, wie zum Beispiel die Projekte bevorzugt zu befassen. Untersuchung durch den Chaos Computer Club (CCC), begrüße ich ausdrücklich. Dabei aufgezeigte Mängel Symptom-Tagebuch dienen immer der Verbesserung und liefern nicht zuletzt Eines der Projekte war das sog. Symptom-Tagebuch, eine zusätzliche Erkenntnisse für die Arbeit der Datenschutz­ webbasierte Anwendung, die den Gesundheitsämtern aufsicht. das Management der Kontaktpersonen erleichtern und Bis heute begleite ich das RKI bei diesem Projekt im ihnen vom BMG unentgeltlich zur Verfügung gestellt Rahmen meiner Datenschutzaufsicht. Dabei wurden werden soll. Die Kontaktpersonen in Quarantäne erhal- verschiedene Aspekte der Datenverarbeitung geprüft. ten dabei täglich einen Link und füllen dann selbst den Festgestellte Mängel wurden umgehend mit dem RKI Online-Fragebogen zu ihren Symptomen aus, so dass das diskutiert und oft sehr kurzfristig abgestellt. Abhilfe- aufwendige Telefonieren entfällt. Ich habe das BMG be- maßnahmen nach Art. 58 DSGVO waren bis Redaktions- raten und auf eine Nachbesserung der Unterlagen hin- schluss nicht erforderlich. gewirkt. So wurde auf eine zusätzliche Berichtsfunktion verzichtet, die statistische Auswertungen der erfassten Wie bereits bei meiner Ersteinschätzung hat auch Daten erzeugt, nachdem ich Zweifel an der Wirksamkeit die weitere Analyse und Bewertung gezeigt, dass die der dafür vorgesehenen Anonymisierung angemeldet Schnittstelle zwischen den Systemen des RKI und den und entsprechende Absicherungen gefordert hatte. Fitness-Tracker-Anbietern das größte Problem aus Sicht des Datenschutzes darstellt. So stellte die datenschutz- Einer abschließenden oder verbindlichen Einschätzung konforme Erhebung der Fitness-Tracker-Daten aus den stand jedoch entgegen, dass es auch auf die konkrete Systemen der unterschiedlichen Anbieter das RKI teils Anbindung in die IT-Struktur ankam. Zudem sind für die vor große Herausforderungen hinsichtlich der Daten- Datenverarbeitung in den kommunalen Gesundheits- minimierung. Diese ist aber unbedingt erforderlich, um ämtern die jeweiligen Landesdatenschutzbeauftragten das zentrale Versprechen der Pseudonymität von Nutze- zuständig. Dem – nicht nur hier – geäußerten dringen- rinnen und Nutzern der Corona-Datenspende einhalten den Wunsch, eine „Freigabe“ zu erteilen, konnte ich zu können. aber auch deshalb nicht nachkommen, da dies nicht zu meinen gesetzlichen Aufgaben und Rechten gehört: Der Unabhängig von konkreten Mängeln stellt sich bei BfDI ist keine Genehmigungsbehörde, dies würde näm- einem solchen Projekt mit experimentellem Charakter lich z.B. auch eine technische Durchprüfung aller ver- immer die Frage, ob die Datenverarbeitung ihren eigent- wendeten Bausteine einer Lösung notwendig machen. lichen Zweck auch tatsächlich erfüllt. Tut sie das nicht, muss die Verarbeitung beendet werden. Daher hatte ich DEMIS-SARS-CoV-2 bereits bei der Veröffentlichung darauf hingewiesen, Beraten habe ich das BMG und das Robert Koch-Institut dass ich eine regelmäßige Evaluierung erwarte. Die mir (RKI) beim Start des Deutschen Elektronischen Mel- hierzu bislang vorliegenden Stellungnahmen des RKI de- und Informationssystems für den Infektionsschutz lassen eine diesbezügliche endgültige Bewertung aktuell (DEMIS) in einer ersten Ausbaustufe (DEMIS-SARS- noch nicht zu. CoV-2). Ich hatte diese Software bereits in den Anfängen

28 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 ihrer Entwicklung in den Jahren 2013/2014 eng begleitet. die kommunalen Grenzen hinweg, da die Gesundheits- DEMIS soll der rein elektronischen Abwicklung der im ämter auch untereinander vernetzt sind – SORMAS X Infektionsschutzgesetz (IfSG) vorgesehenen Meldepflich- (für eXchange). Ein weiteres Modul dient der übergrei- ten dienen, sieht aber auch weitere Funktionen mit zen- fenden Datenanalyse - SORMAS XL (für eXtra Laxer), ist traler Datenspeicherung und Zugriffsmöglichkeiten der aber bei Redaktionsschluss noch nicht im Einsatz, da jeweiligen Behörden vor. Die gesetzliche Grundlage für ich wegen der ungeklärten Rechtsgrundlage Bedenken DEMIS ist § 14 IfSG. Allerdings liegt die hier vorgesehene angemeldet hatte. Dass die Anwendungen beim Infor- Verordnung mit näheren Bestimmungen zur Umsetzung mationstechnikzentrum des Bundes (ITZBund) gehostet noch nicht vor. DEMIS ist daher bislang noch nicht im werden, begrüße ich, da dies etwaige Bedenken an einer vollen Umfang im Einsatz. Durch bestimmte Funktionen Datenhaltung durch Privatunternehmen ausräumt. Um dürften Bereiche mit gemeinsamer datenschutzrecht- die rechtlichen Anforderungen zu erfüllen, müssen nun licher Verantwortung entstehen, die besondere Verein- die jeweiligen Gesundheitsämter Auftragsvereinbarun- barungen erfordern. Um in der Pandemie-Lage mög- gen mit dem ITZBund schließen. lichst schnell einen sicheren Übertragungsweg für die Auch bei dieser Beratung bestand die Problematik, dass Meldung der vielen Infizierten nutzen zu können, wurde ich für die Bewertung der Software im konkreten Einsatz das System allerdings vorab - mit begrenztem Umfang - in den Gesundheitsämtern rechtlich nicht zuständig in Betrieb gesetzt. Für diese Funktionalitäten können die bin. In diesem Fall habe ich in Absprache mit BMG und datenschutzrechtlichen Verantwortlichkeiten leichter HZI die Landesdatenschutzbeauftragten in die Beratung zugeordnet werden. So können die Daten verschlüsselt eingebunden und eine gemeinsame datenschutzrechtli- von den Laboren zu den Gesundheitsämtern und weiter che Einschätzung der zuständigen Datenschutzaufsichts- zum RKI übermittelt werden. Nach vorgegebener Struk- behörden in den Ländern koordiniert. Letztlich war ich tur werden die Testergebnisse und weitere Angaben gemeinsam mit den Landesdatenschutzbehörden mit erfasst, im System dem zuständigen Gesundheitsamt zu- einem Betriebsbeginn „unter Vorbehalt“ einverstanden, geordnet und dann nach dort gemeldet. Dabei wird ein da das BMG versichert hatte, auch während des Betriebs besonderes Pseudonymisierungsverfahren eingesetzt, nötige datenschutzrechtliche Verbesserungen zu veran- das die Identifizierung von Doppelmeldungen ermög- lassen. Zudem war die bisherige Praxis der Fallbearbei- licht. Das ist ein wesentlicher Fortschritt gegenüber der tung in den Gesundheitsämtern oft weder effizient noch zuvor praktizierten Übermittlung per Fax, sowohl was datenschutzkonform, und es bestand hoher politischer die Geschwindigkeit betrifft als auch den Datenschutz. Druck, das neue System einzusetzen. Die im IfSG zunächst eingeführte Pflicht zur Meldung der Negativ-Getesteten hätte ebenfalls über DEMIS Forschungsprojekt KaDoIn erfüllt werden sollen. Ich hatte das RKI bereits darauf Eine weitere Beratungsbitte des BMG bezog sich auf Ka- hingewiesen, dass ich die Meldungen für nicht zulässig DoIn, eine von der Medizinischen Hochschule Hannover halte. Noch vor dem Betrieb von DEMIS-SARS-CoV-2 (MHH) konzipierte Anwendung zur kartenbasierten wurde die Pflicht im Gesetz vernünftigerweise wieder Dokumentation von Indexpatienten. KaDoIn dient dazu, gestrichen. die Standortdaten aus dem Smartphone eines infizier- SORMAS@DEMIS ten Indexpatienten auszulesen, mittels Googlemaps zu visualisieren, strukturiert aufzubereiten und mit den Im Zusammenhang mit DEMIS steht auch die Beratung Standortdaten möglicher Kontaktpersonen abzuglei- von BMG und RKI zu der Software SORMAS mit ver- chen. Die MHH erforschte im Rahmen einer vom BMG schiedenen Modulen. SORMAS steht für Surveillance geförderten Studie, wie hiermit die Kontaktpersonen- Outbreak Response Management und Analysis System nachverfolgung der Gesundheitsämter unterstützt wer- und wurde vom Helmholtz-Zentrum für Infektionsfor- den kann. Die Sorge vor einem unzulässigen Tracking schung (HZI) zur Erfassung der Fälle und Kontaktperso- konnte rasch ausgeräumt werden, da die Daten lokal im nen entwickelt. Das BMG wollte den Gesundheitsämtern Browser aufbereitet und strukturiert angeboten werden. diese Software kostenfrei zur Verfügung stellen, um Der Nutzer – also der Indexpatient – entscheidet selbst, deren Arbeit zu unterstützen. Die Version SORMAS-ÖGD welche Daten er auswählt und dem Gesundheitsamt wurde auch vorher schon in einigen Gesundheitsämtern übermittelt. Die Teilnahme an der Studie war freiwillig, angewandt, um die Fälle zu verwalten – SORMAS –L (für daher sah ich keine wesentlichen datenschutzrechtli- local). Es enthält neben einer Berichtsfunktion- auch chen Hindernisse. eine Schnittstelle für eine Tagebuchfunktion für die Quarantäne. Die Anbindung von SORMAS an DEMIS Querverweis: erleichtert mit einem effizienten Kontaktpersonenma- 4.1.4 Änderungen des Infektionsschutzgesetzes nagement die Ermittlung von Kontaktketten, auch über

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 29 4.1.4 Änderungen des Infektionsschutzgesetzes Mit dem Gesetz wurde auch das Gesetz zur Durchfüh- rung der Internationalen Gesundheitsvorschriften geän- In drei „Etappen“ wurde das Infektionsschutzgesetz dert. Die darin nunmehr vorgesehenen Abfragen beim (IfSG) aufgrund der Pandemie-Lage geändert. Dabei Fluggastdaten-Informationssystem verstoßen gegen die wurde durch die Ausweitung sowohl der Gründe als EU-Richtlinie über PNR-Daten.7 Nachdem der Bundestag auch des Umfangs von Meldepflichten für Erkrankun- das Gesetz am 25. März 2020 beschlossen und der Bun- gen und Krankheitserreger erheblich in das Grundrecht desrat am 27. März zugestimmt hatte, trat es am 28. März auf informationelle Selbstbestimmung eingegriffen. 2020 in Kraft. (s. meine Stellungnahme vom 3. April 2020 Transparente Begründungen und eine Auseinanderset- www.bfdi.bund.de/stellungnahmen) zung mit den datenschutzrechtlichen Anforderungen wären nötig gewesen, fehlten jedoch immer wieder. Die Zweites Änderungsgesetz unzureichend begründete Meldepflicht der Negativ-Ge- Der Entwurf des Zweiten Gesetzes zum Schutz der Be- testeten wurde vernünftigerweise wieder gestrichen. völkerung bei einer epidemischen Lage von nationaler Nachdem bereits im Januar 2020 die Meldepflicht für Tragweite wurde am Nachmittag des 20. April 2020 ver- Erkrankungen und Krankheitserreger nach dem Infek- sandt mit der Bitte um Stellungnahme bis zum 22. April tionsschutzgesetz durch Verordnung auf COVID-19 und 2020. Auch in diesem Gesetzentwurf waren weitgehende SARS-CoV-2 ausgedehnt worden war, wurde das Infekti- Veränderungen des IfSG enthalten. Nicht alle waren onsschutzgesetz im März, April und November geän- eilbedürftig: Ohne Bezug zur aktuellen Lage wurde die dert. Die fachlichen Abstimmungen und die politischen namentliche Meldepflicht bei neuen, bislang unbekann- Beschlüsse wurden in kürzesten Zeitspannen getroffen. ten Erkrankungen bereits auf den Verdachtsfall ausge- Nicht nur die Anzahl der Gesetze und Verordnungen, die weitet. Konkret auf SARS-CoV-2 und SARS-CoV bezogen das Bundesministerium für Gesundheit (BMG) bearbei- wurde dagegen die neu eingeführte Meldepflicht bei ne- tet hat, stieg durch die Pandemie in rekordverdächtige gativem Testergebnis an das Robert Koch-Institut (RKI). Höhen. Auch die zur Befassung gewährten Zeitspannen Die Begründung dafür enthielt jedoch ausschließlich für die Beratung waren extrem kurz. Dabei gestand das statistische Erwägungen. Dass die Meldungen an das RKI BMG auch bei den vielen übrigen, nicht durch „Corona“ pseudonymisiert abgegeben werden sollten und daher begründeten Gesetzen und Verordnungen ohne erkenn- die Vorgaben der DSGVO einzuhalten waren, wurde im baren Grund nicht die in der Gemeinsamen Geschäfts- Gesetz und seiner Begründung nicht berücksichtigt. ordnung der Bundesministerien vorgesehenen Beteili- Das Infektionsschutzgesetz dient der Gefahrenabwehr, gungsfristen zu. konkret dem Schutz vor Ansteckung mit einer infektiö- sen Krankheit. Die Negativ-Getesteten sind jedoch nicht Erstes Pandemie-Schutz-Gesetz ansteckend. Ich hielt die Meldungen in dieser Form Zum (Ersten) Gesetz zum Schutz der Bevölkerung bei daher für nicht erforderlich und damit für unzulässig. einer epidemischen Lage von nationaler Tragweite gab Leider blieb die Regelung dennoch zunächst im Gesetz. es am Freitagnachmittag eine Vorwarnung, dass der Keinen Eingang ins Gesetz fand der Immunitätspass. Ein Entwurf am Samstag, dem 21. März 2020, mit einer Frist Immunitätspass würde eine gesundheitsbezogene An- zur Stellungnahme von vier (!) Stunden vorgelegt wurde. gabe enthalten, die ärztliche Bewertung der Immunität. Neben weitreichenden Eingriffs- und Verordnungsbefug- Damit würde er sich wesentlich vom Impfpass unter- nissen für das BMG waren Pflichten für Beförderungsun- scheiden, der die Tatsache der Impfung dokumentiert. ternehmer und Fluggesellschaften vorgesehen. Ich habe Für den Impfpass gilt, dass nur in bestimmten Fällen erhebliche Zweifel an der Verfassungsmäßigkeit geltend eine Einsicht verlangt werden darf. Da im April die gemacht, insbesondere hinsichtlich der Geeignetheit Immunität bezüglich SARS-CoV-2 wissenschaftlich noch einiger Maßnahmen. Auch während einer Pandemie nicht geklärt war, wurde die Regelung wieder zurück- sind Grundrechte nicht außer Kraft gesetzt. Leider wur- gezogen. In meinen Augen wäre es mit dem Recht auf den meine Bedenken überwiegend nicht berücksichtigt. informationelle Selbstbestimmung nicht zu vereinbaren, Weder die erforderliche Nachbesserung der Begründung sollte ein Immunitätsnachweis allgemein als „Eintritts- oder die von mir geforderte Evaluation, noch die nötigen karte“ eingesetzt werden. Das würde umgekehrt zu einer Löschvorgaben oder die zielführende datenschutzrecht- Diskriminierung derjenigen führen, die einen derartigen liche Begleitung landesübergreifender Forschungsvor- Nachweis nicht erbringen können. Dieses Gesetz trat am haben zentral durch mich wurden vorgesehen. 23. Mai 2020 in Kraft.

7 Art. 1 Abs. 2 der RL (EU)2016/681 vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermitt- lung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität.

30 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Der Ablauf dieses Gesetzgebungsvorhabens zeigte, dass Individualreisende Angaben zu Person und Aufenthalt die pandemische Lage auch bei der Regierung große machen müssen. Unsicherheit ausgelöst hat. Es fehlten belastbare wissen- Interessant ist auch der Vergleich der Formulierun- schaftliche Erkenntnisse zu Infektionswegen und -gefah- gen der bisherigen Aussteigekarte und derjenigen für ren, zur Erkrankungswahrscheinlichkeit und Wiederan- COVID-19: In der bisherigen gibt es Erläuterungen zu steckungsgefahr und zu zielführender medikamentöser Grundlagen der Datenverarbeitung. Dann werden Daten Behandlung. Dieser Unsicherheit sollte offenbar mit zu Person, Mitreisenden und Aufenthaltsorten erfragt. umfassender, gesetzlich verpflichtender bundesweiter Die COVID-19-Fassung weist dagegen drastisch auf die staatlicher Erhebung von personenbezogenen Gesund- Ausfüllpflicht und das drohende Bußgeld bei Falschan- heitsdaten begegnet werden. Ob auch regionale Erhe- gaben hin. Dann werden zusätzlich Gesundheitsinfor- bungen oder Erhebungen auf Basis einer Einwilligung mationen abgefragt, nämlich Symptome und Testung. im Rahmen von klinischen und wissenschaftlichen Dadurch waren erhöhte Anforderungen an die Sicher- Forschungsvorhaben zu hinreichenden Erkenntnissen heit der Verarbeitung der Daten zu erfüllen, die ich bei hätten führen können, wurde nicht diskutiert. der Beratung zur technischen Umsetzung beim digitalen Drittes Pandemie-Schutz-Gesetz Versand der Aussteigekarten zu berücksichtigen hatte.

Das Dritte Gesetz zum Schutz der Bevölkerung bei einer Problematisch waren auch im Dritten Pandemie-​ epidemischen Lage von nationaler Bedeutung wurde am Schutz-Gesetz wieder die Regelungen, die Pflichten Abend des 14. Oktober 2020 mit Frist zur Stellungnahme und Befugnisse für Beförderungsunternehmen und bis zum 16. Oktober 2020 vorgelegt. Eine veränderte und Bundespolizei im Zusammenhang mit der Einreise teilweise ergänzte Fassung wurde am Freitag, den 23. betreffen. Durch Verordnung kann vorgesehen werden, Oktober morgens, mit Frist bis zum gleichen Tag 18.00 dass den Beförderern Nachweise über Meldepflichten, Uhr übersandt. Diese extrem kurzen Fristen erschwer- Impfungen und Gesundheitszustand vorzulegen sind ten die sachgerechte Bearbeitung. Da die Pandemie-La- und dass die Beförderer ihrerseits Daten der Passagiere ge zu diesem Zeitpunkt bereits seit mehreren Monaten übermitteln müssen. Die Bundespolizei soll die Erfül- bestand, war diese Eile aus meiner Sicht nicht angemes- lung der Pflichten aus der Verordnung überwachen und sen, hätte aber zumindest mit einer Einbindung in die Verstöße melden. Die Begründung blieb hier erneut Überlegungen auch vor Erstellung eines abgestimmten deutlich hinter den Anforderungen der Gemeinsamen Entwurfs gemindert werden können. Erneut wurden Geschäftsordnung der Bundesministerien zurück. Die verschiedene Meldepflichten und Übermittlungen perso- Grundrechtseingriffe werden nicht ausreichend abgewo- nenbezogener Daten eingeführt oder erweitert. Hierbei gen und gerechtfertigt. Insbesondere Geeignetheit und wurde nicht berücksichtigt, dass die Verarbeitung von Erforderlichkeit der Maßnahmen werden nicht darge- Gesundheitsdaten, also besonders geschützten perso- legt. Im Kontext der EU bedarf eine Unterscheidung nenbezogenen Daten, einen Eingriff in das Grundrecht zwischen grenzüberschreitenden und innerdeutschen auf informationelle Selbstbestimmung darstellt. Diese Reisen einer besonderen Begründung. Die nach Artikel sind daher sorgfältig zu begründen und zu rechtfertigen 9 Absatz DSGVO für die Verarbeitung von Gesundheits- und es sind besondere flankierende Maßnahmen zum daten notwendigen besonderen Schutzmaßnahmen wer- Schutz der sensiblen Daten vorzusehen. Insbesondere den nicht erwähnt. Weitere Vorgaben für die Beförderer, wurde eine Verfeinerung der Angaben zum Wohnort der also private Unternehmen, fehlen. Dabei ist zu regeln, Infizierten vorgesehen, ohne zu berücksichtigen, dass ob und wie sie die Daten erheben und wie lange, in dadurch das Re-Identifikationsrisiko steigt. Denn diese welchem Umfang und mit welchen Schutzvorkehrungen Regelung gilt nicht nur für COVID-19, sondern auch für sie sie speichern dürfen. Als Erfolg konnte ich jedoch andere, seltenere Erreger. Zudem wurde ohne ausrei- verbuchen, dass mit diesem Gesetz die Meldepflicht der chende Begründung vorgesehen, dass pseudonyme Negativ-Getesteten wieder gestrichen wurde, bevor mit Meldungen zur Impfung und zu Impffolgen nun an zwei ihrer Umsetzung begonnen wurde. verschiedene Stellen zu adressieren sind: an das Robert Koch-Institut und das Paul-Ehrlich-Institut. Das führt 4.1.5 Schutzmaske nur gegen Daten? zu einer Verdoppelung der Datenmenge, die ich kritisch Kurz vor Weihnachten wollte der Bundesgesundheits- sehe. Ausgeweitet wurden auch die Pflichten bei der minister Gutes tun und per Verordnung an besonders Einreise: Statt der sogenannten Aussteigekarte, die auf Gefährdete kostenfrei Schutzmasken über Apotheken Grundlage der internationalen Gesundheitsvorschriften verteilen lassen. Einige Apotheker sahen dies als Chan- von den Passagieren auszufüllen und dann dem zustän- ce, auch für andere Zwecke an die Daten Ihrer Kunden digen Gesundheitsamt zuzuleiten ist, wird nun eine zu kommen. Digitale Einreiseanmeldung vorgesehen, in der auch

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 31 Anfang Dezember erließ das Bundesministerium für jedoch die Grundsätze des Datenschutzes beachtet wer- Gesundheit (BMG) die „Verordnung zum Anspruch auf den, was sich bei so mancher technischen Lösung als Schutzmasken zur Vermeidung einer Infektion mit problematisch erweist. dem Coronavirus SARS-CoV-2 - Coronavirus-Schutzmas- Anfänglich große Unsicherheit ken-Verordnung (SchutzmV)“, mit der Personen, die das 60. Lebensjahr vollendet haben, sowie Personen, bei Zu Beginn der Kontaktbeschränkungen im Frühjahr 2020 denen bestimmte Erkrankungen oder bestimmte Risiko- waren viele Firmen und Behörden gezwungen, schnell faktoren für einen schweren Verlauf der COVID-19-Er- eine funktionierende Kommunikationsinfrastruktur krankung vorliegen, Anspruch auf drei FFP2-Schutz- zu schaffen, um Homeoffice und mobiles Arbeiten in masken oder ähnlicher Qualität erhalten. Die Verteilung einem Umfang zu ermöglichen, der zuvor kaum vorstell- erfolgt über die Apotheken. Für die Verteilung sieht § 4 bar war. Gerade in dieser Phase gab es neben den rein Absatz 1 Satz 1 SchutzmV vor, dass die Anspruchsbe- praktischen Herausforderungen eine große Unsicher- rechtigten ihr Alter durch „Vorlage des Personalauswei- heit, welche der verfügbaren Lösungen Firmen und ses“ nachweisen sollen. Wie ich einigen Beschwerden Behörden einsetzen können. Es durfte keine Vernachläs- Betroffener entnehmen konnte, haben manche Apo- sigung des Schutzes der personenbezogenen Daten der thekerinnen und Apotheker in diesem Zusammenhang Beschäftigten und von Kundinnen und Kunden erfolgen. den Ausweis ihrer Kunden gleich kopiert. Dafür existiert Andererseits war eine erhöhte Bereitschaft erkennbar, keinerlei Berechtigung oder Rechtsgrundlage. Einige diesen Schutz - entweder bewusst oder unbewusst – erst Apothekerinnen und Apotheker wollten zudem nur einmal hintanzustellen. dann eine eigentlich kostenlos abzugebende Schutz- Chancen und Risiken beim Einsatz von Videokonfe- maske aushändigen, wenn die Betroffenen zuvor einen renzsystemen Antrag für eine Kundenkarte ausgefüllt und sich bereit erklärt haben, dass deren Daten (für Werbezwecke) an Gerade in einer Situation wie der Corona-Pandemie Dritte übermitteln werden dürfen. Die nach dem Willen bieten Videokonferenzsysteme die Chance, Anzahl und des BMG eigentlich kostenlosen Schutzmasken sollten Dauer direkter Kontakte deutlich zu reduzieren, wenn also mit den Daten der Anspruchsberechtigten bezahlt Beschäftigte vermehrt mobil bzw. aus dem Homeoffice werden. arbeiten oder wenn Dienstreisen zu Vor-Ort-Terminen durch Videokonferenzen ersetzt werden. Diesem Nutzen Ich habe das BMG gebeten, einzuschreiten und die stehen allerdings auch eine Reihe von Risiken gegen- Apotheken aufzufordern, sich entsprechend der Verord- über. Diese betreffen sowohl die Personen, die an einer nung zu verhalten. Da ich für die Apotheken nicht die Videokonferenz teilnehmen, als auch Personen, über zuständige Datenschutzaufsichtsbehörde bin, habe ich die personenbezogene Daten, etwa mittels Messenger, die konkreten Beschwerden an meine Kolleginnen und ausgetauscht oder im Rahmen einer Videokonferenz Kollegen in den Ländern mit dem Hinweis weitergege- gesprochen wird. Hier gilt es die Privatsphäre von ben, zu prüfen, ob hier nicht Bußgelder nach der DSGVO Beschäftigten (sowie gegebenenfalls ihrer Familien) zu zu verhängen sind. schützen, die aus dem Homeoffice an Videokonferen- zen teilnehmen, und auch dafür Sorge zu tragen, dass 4.1.6 Messenger und Videokonferenzssyteme - Fluch und sensitive Inhalte gleichermaßen geschützt werden, wie Segen in Corona-Zeiten es bei einem Präsenztreffen möglich ist. Wird ein System Videokonferenzsysteme und Messenger-Apps haben genutzt, das der datenschutzrechtlich Verantwortliche seit Beginn der Corona-Pandemie einen enormen nicht selbst betreibt, sondern das von einem Dienstleis- Zuwachs in ihrer Bedeutung erfahren, denn Konferen- ter betrieben wird, der eventuell seinen Sitz außerhalb zen, Homeoffice und mobiles Arbeiten wären ohne sie Europas hat, muss außerdem beachtet werden, dass sehr viel schwieriger umzusetzen. Leider sind nicht alle etwaige „Datensammlungen“ durch den Dienstleister die Systeme mit Blick auf den Datenschutz unbedenklich. in Europa geltenden datenschutzrechtlichen Vorgaben berücksichtigen. Homeoffice und mobiles Arbeiten können wichtige Beiträge dazu leisten, in Situationen wie der Corona- Hinweise zur Auswahl und zum Betrieb Pandemie die Anzahl und Dauer direkter Kontakte zu Anfang April 2020 habe ich auf meiner Website Hinweise verringern und so die Ansteckungsgefahr zu reduzieren. zur Auswahl und zum sicheren Betrieb von Messen- Die breite Verfügbarkeit leistungsfähiger Mobilfunk- ger- und Videokonferenzdiensten veröffentlicht. Dabei oder Festnetzverbindungen ermöglicht es, einen großen habe ich besonderen Wert auf die Aspekte Transparenz, Teil der Besprechungen und Veranstaltungen, die in der Sicherheit und Steuerbarkeit gelegt. Die Verantwortung Vergangenheit als Präsenzveranstaltungen durchgeführt für die datenschutzkonforme Nutzung eines Dienstes wurden, stattdessen virtuell abzuhalten. Dabei müssen

32 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 liegt auch dann weitgehend bei den Nutzern, wenn ein von einem Anbieter zentral betriebener Dienst zum Nutzung eines öffentlich verfügbaren Dienstes Einsatz kommt. Auch habe ich den Anwenderinnen oder Eigenbetrieb? und Anwendern eine Reihe von Leitfragen an die Hand gegeben, die ihnen bei der Beurteilung und Auswahl Eine zentrale Frage bei der Nutzung von Videokonfe- entsprechender Angebote helfen. renz- oder Messengersystemen ist die Wahl zwischen Orientierungshilfe der Datenschutzkonferenz der Nutzung eines kommerziellen, öffentlich verfügba- ren Dienstes und dem Eigenbetrieb eines entsprechen- Im Verlauf des Jahres hat die Konferenz der unabhän- den Systems. Während der Eigenbetrieb eines Systems gigen Datenschutzaufsichtsbehörden des Bundes und den Verantwortlichen einerseits die volle Kontrolle der Länder (DSK) eine Orientierungshilfe zum Einsatz über praktisch alle datenschutzrelevanten Parame- von Videokonferenzsystemen erarbeitet, die im Oktober ter gibt, bürdet er ihnen andererseits die komplette 2020 veröffentlicht wurde. Diese Orientierungshilfe wird Verantwortung für den sicheren und performanten durch eine Checkliste ergänzt, die Verantwortliche dabei Betrieb auf. Der technische und organisatorische Auf- unterstützt, bei der Auswahl und Nutzung von Videokon- wand für den Aufbau und den Betrieb eines Dienstes in ferenzsystemen keine relevanten Aspekte außer Acht zu Eigenregie ist groß. Die Nutzung öffentlich verfügbarer, lassen. Die Orientierungshilfe adressiert ausdrücklich kommerzieller Angebote ist demgegenüber oft schnel- den Beschäftigtendatenschutz, der gerade beim Einsatz ler zu realisieren und mit weniger Aufwand verbunden. von Videokonferenzsystemen im Homeoffice oder bei mobiler Arbeit eine wichtige Rolle spielt. Gerade solche Angebote, die besonders schnell und Rundschreiben an die Bundesverwaltung zu WhatsApp einfach genutzt werden können, sind jedoch oft be- sonders problematisch. Für diese zentral betriebenen Nachdem mich zu Anfang der Corona-Krise einzelne Dienste ist nur die Installation einer App auf einem Hinweise erreicht haben, die den Einsatz von WhatsApp Mobilgerät oder einer Client-Anwendung auf einem durch Stellen der Bundesverwaltung bemängelten, habe Notebook erforderlich. Es könnten vom entsprechen- ich im April 2020 in einem Rundschreiben an alle obers- den Anbietern möglicherweise aber auch Nutzungsda- ten Bundesbehörden klargestellt, dass Bundesbehörden ten erhoben werden, woraus sich Profile bilden lassen, auf den Einsatz von WhatsApp verzichten sollten. Die die gegebenenfalls für eigene Zwecke genutzt werden Übermittlung von Metadaten an WhatsApp und, in sollen. Hier sind die Anbieter zu mehr Transparenz auf- einem zweiten Schritt, auch an Facebook, liefert stets gefordert. Bietet ein Dienst die Möglichkeit zum Teilen einen Beitrag zur Profilbildung durch Facebook. Dies von Dateien oder zur Aufzeichnung von Gesprächen ist für Behörden, die in besonderem Maß an die Einhal- oder Sitzungen, so ist dies immer dann problematisch, tung von Recht und Gesetz gebunden sind und denen in wenn die entsprechenden Inhalte auf der Infrastruk- diesem Zusammenhang eine Vorbildfunktion zukommt, tur des Anbieters gegebenenfalls unverschlüsselt nicht tragbar. gespeichert werden. Auch über die Frage, ob bzw. wie die Datenströme auf dem Weg von den Clients zum Server geschützt werden, muss transparent informiert werden.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 33 4.1.7 Zustellung von Paketen unter Pandemie- wurden bereits bestehende Mechanismen erweitert bedingungen oder neue Programme aufgelegt, wie die Stabilisierungs- maßnahmen aus dem Großbürgschafts-Programm und Die Corona-Pandemie hat das Sendungsvolumen im dem Wirtschaftsstabilisierungsfonds. Zusätzlich wurde Paketbereich stark erhöht. Mit dem Erfordernis der ein Programm mit Überbrückungshilfen für kleine und kontaktlosen Zustellung kollidierten in der Anfangszeit mittelständische Unternehmen aufgelegt, die ihren einige Varianten der Übergabedokumentation mit den Geschäftsbetrieb im Zuge der Corona-Krise ganz oder Vorgaben des Datenschutzes. zu wesentlichen Teilen einstellen mussten. All diese Auch die Zustellung von Paketen, deren Volumen durch Programme eint, dass während der entsprechenden An- die Schließungen des Einzelhandels sprunghaft angestie- tragsverfahren regelmäßig personenbezogene Daten von gen war, musste an die gebotenen Abstandsregeln ange- verschiedensten an den Verfahren beteiligten Personen passt werden. Zustellungen mit dem Unterschreiben auf verarbeitet werden. dem Handscanner und der zugehörige Austausch des Gerade aufgrund des Bedarfs für eine schnelle Umset- Geräts und des Stifts mussten ersetzt werden. Die Paket- zung und der dabei zu beachtenden komplexen daten- dienstleistungsfirmen in Deutschland haben daher im schutzrechtlichen Fragen hätte ich mir eine frühzeitige Frühjahr ihre Prozesse angepasst: Statt die Sendungen Einbindung in diese Projekte gewünscht, damit die durch Unterschriften quittieren zu lassen, sollten die Verfahren auf eine solide datenschutzrechtliche Basis Zustellenden fortan beispielsweise die Unterschrift der gestellt werden können. Dies war jedoch nicht durchgän- empfangenden Person auf dem Paket abfotografieren. gig der Fall. Mehrere Bürgerinnen und Bürger berichteten mir, dass Als Positivbeispiel möchte ich das neue Programm zur neben ihrer Unterschrift auf dem Paket auch ihr Ausweis Überbrückungshilfe für kleine und mittelständische im Rahmen der Zustellung fotografiert wurde. In Einzel- Unternehmen, die ihren Geschäftsbetrieb im Zuge fällen fotografierten Mitarbeitende der Paketdienstleis- der Corona-Krise ganz oder zu wesentlichen Teilen tungsfirmen die empfangenden Person mit ihrem Paket einstellen mussten, hervorheben. Hier ist das Bundes- zu Dokumentationszwecken und übertrugen diese Bilder ministerium für Wirtschaft und Energie (BMWi) schon in die firmeneigenen Systeme. im Stadium erster Überlegungen auf mich zugekom- Die mir gemeldeten Vorfälle wurden in der Regel bei men, um bei den angedachten Prozessschritten meine der Sachverhaltsaufklärung von den betreffenden Expertise einzuholen. Der Verwaltungsvollzug dieses Paketdienstleistungsfirmen bestätigt, selbstverständlich Programmes sollte bürgernah durch die Länder erfol- verbunden mit der Bestätigung der Löschung der zu gen. Daher habe ich meine Kolleginnen und Kollegen in Unrecht erhobenen personenbezogenen Daten. Aus- den Ländern regelmäßig über das Programm informiert, weisfotografien oder Bilder von empfangenden Perso- so dass eine komplette Begleitung durch die zuständigen nen gehen zweifellos weit über das gesetzlich Erlaubte Datenschutzbehörden sichergestellt werden konnte. Au- hinaus. Sie zu erheben und zu speichern, stellt einen ßerdem konnte ich das BMWi neben datenschutzrecht- klaren Verstoß gegen die DSGVO dar. lichen Fragen im Zusammenhang mit der Beteiligung von Finanzverwaltung und Wirtschaftsprüfern auch zu Auch für Postdienstleistende gilt: Eine entsprechende der eingerichteten Verfahrensplattform „Onlineantrag Einarbeitung und Sensibilisierung der Mitarbeitenden Überbrückungshilfe“ beraten. Das BMWi hat hierzu ein hinsichtlich der gesetzlichen Vorgaben beugt Daten- umfassendes Datenschutzkonzept, ein Verzeichnis von schutzverstößen vor. Verarbeitungstätigkeiten sowie eine Datenschutz-Folge- abschätzung vorgelegt, in denen sich eine erfreuliche 4.1.8 Programme für Sofort- bzw. Überbrückungs- Sensibilisierung hinsichtlich der Berücksichtigung not- hilfen des Bundes im Zusammenhang mit der Corona- wendiger datenschutzrechtlicher Aspekte gezeigt hat. Pandemie Von den Stabilisierungsmaßnahmen aus dem Großbürg- In die Umsetzung der Programme der Bundesregie- schafts-Programm und dem Wirtschaftsstabilisierungs- rung zur Überwindung der negativen wirtschaftlichen fonds habe ich dagegen erst Kenntnis erlangt, als sie sich Auswirkungen der Corona-Pandemie wurde ich zu beim BMWi bereits in der Umsetzung befanden. Insbe- unterschiedlichen Zeitpunkten einbezogen. Dabei hat sondere zu der Einbindung von Drittparteien als Manda- sich gezeigt, wie wichtig die frühzeitige Einbeziehung tar in die durchzuführenden Antragsprozesse hätte ich meines Hauses in datenschutzrechtlichen Fragen ist. gerne von Anfang an Stellung nehmen können. Die hier Die Bundesregierung hat auf die wirtschaftlichen Folgen gewählte Abgrenzung der datenschutzrechtlichen Ver- der Corona-Pandemie schnell mit finanziellen Stabili- antwortlichkeiten, die von der Entscheidungsbefugnis sierungsmaßnahmen für die Wirtschaft reagiert. Hierzu der einzelnen Akteure im Antragsverfahren abweicht,

34 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 erschließt sich mir nicht. Gerade für eine effektive prüfung schnell und unbürokratisch zu gestalten, ohne Wahrnehmung der Betroffenenrechte ist eine klare von einer Vermögensprüfung generell abzusehen. Zuordnung der Verantwortlichkeiten jedoch besonders Diese an sich leistungsrechtliche Frage hat schwerwie- wichtig. Daher befinde ich mich zu diesem Punkt noch gende Auswirkungen auf das Datenschutzrecht. Die in weiteren Abstimmungsgesprächen mit dem BMWi. Regelung führte bei einigen Antragstellenden zu Unsi- cherheiten, da einige Jobcenter ungeachtet dessen wei- 4.1.9 Coronabedingte Änderungen in der Arbeitsverwal- terhin zur Prüfung des Vorhandenseins von Einkommen tung und Vermögen erforderliche Unterlagen anforderten. Ein übereiltes Gesetzgebungsverfahren bezüglich des Insbesondere wurde wie bisher die Vorlage von Kon- vereinfachten Zugangs zu Leistungen nach dem Sozial- toauszügen der letzten Monate verlangt. Wenn jedoch gesetzbuch Zweites Buch (SGB II; Sozialschutzpaket I) eine Vermögensprüfung grundsätzlich unzulässig ist, führt zu Unsicherheit in Datenschutzfragen. ist auch das regelhafte Anfordern von Kontoauszügen nicht mit dem datenschutzrechtlichen Grundsatz der Um die sozialen und wirtschaftlichen Folgen der Maß- Datensparsamkeit vereinbar. Die Jobcenter dürfen nur nahmen zur Eindämmung des Coronavirus im Frühjahr Daten verarbeiten, die zur Erfüllung ihrer gesetzlichen 2020 abzufedern, wurden durch das Sozialschutzpaket I Aufgaben erforderlich sind. Regelungen zum erleichterten Zugang zu Leistungen der Grundsicherung nach dem SGB II mit Geltung für Bewil- Dies führte zu einer erheblichen Verunsicherung und ligungszeiträume ab dem 01.03.2020 eingeführt. Ziel des einem erhöhten Aufkommen von Anfragen bei mir. Die Gesetzes war nach der Gesetzesbegründung (BT-Druck- Informationen aus dem Internetauftritt des Bundesmi- sache 19/18107), die Leistungen in einem vereinfachten nisteriums für Arbeit und Soziales (BMAS) waren nicht Verfahren schnell und unbürokratisch zugänglich zu geeignet, diese Verunsicherung zu beseitigen. Im Grund- machen, um die Betroffenen zeitnah unterstützen zu satz haben die Jobcenter nach meiner Auffassung zu können. Niemand sollte aufgrund der wirtschaftlichen Recht die Vorlage von anspruchsbegründenden Unter- Auswirkungen dieser Krise in existenzielle Not gera- lagen, wie den Kontoauszügen der letzten drei Monate, ten. Das vereinfachte Verfahren sei zur Unterstützung verlangt. Sinn und Zweck der durch das Sozialpaket der Arbeitsfähigkeit der Jobcenter erforderlich. Das vorgenommenen Gesetzesänderung ist nicht, die Vermö- Gesetzgebungsverfahren erfolgte im Eilverfahren. Die gensprüfung als solche generell auszuschließen. Es geht normalerweise im Gesetzgebungsverfahren vorgesehe- lediglich darum, dass Verwaltungsverfahren vereinfacht ne Verbändeanhörung erfolgte nicht; ich wurde zwar werden, damit die Leistungen schneller ausgezahlt beteiligt, jedoch mit einer derart kurzen Frist, dass mir werden können. Die Sichtung von Kontoauszügen der eine umfassende Prüfung des Gesetzesentwurfs nicht letzten drei Monate verzögert das Verwaltungsverfahren möglich war. Obwohl ich die Eilbedürftigkeit des Geset- nicht wesentlich. Zudem ist diese erforderlich, um trotz zesvorhabens in einer Krisensituation anerkenne, bin der vereinfachten Vermögensprüfung wenigstens in ich der Auffassung, dass mit diesem Eilverfahren rechts- geringem Umfang die im Antragsverfahren gemachten staatliche Grundsätze überdehnt wurden, insbesondere Angaben überprüfen zu können. Außerdem werden die da auch in solchen Fällen eine vorzeitige und damit Kontoauszüge nicht nur zur Prüfung des Vermögens parallele Beteiligung erfolgen könnte. Ich verweise auf benötigt, sondern auch als Nachweis, welche Einkünfte die kritische Stellungnahme des Deutschen Sozialge- den Antragstellenden zugeflossen sind. Zwar wird durch richtstags vom 25. März 2020 zum Gesetzesentwurf, der die Bundesagentur für Arbeit auf die Pflicht zur Vorlage ich mich in diesem Punkt anschließe. der Kontoauszüge trotz der Erleichterungen hingewie- sen (https://www.arbeitsagentur.de/corona-faq-grund Mit dem Sozialschutzpaket I wurde unter anderem ge- sicherung-arbeitslosengeld-2). Eine klarere gesetzliche regelt, dass Vermögen für die Dauer von sechs Monaten Regelung sowie eine ausführlichere Erläuterung der nicht berücksichtigt wird, nicht jedoch, wenn das Ver- Regelungen durch das BMAS oder die Bundesagentur für mögen erheblich ist. Es wird vermutet, dass kein erheb- Arbeit und die Jobcenter hätten dazu beitragen können, liches Vermögen vorhanden ist, wenn die Antragstellerin diese Unsicherheiten zu vermeiden. oder der Antragsteller dies im Antrag erklärt. Inwieweit aus der gesetzlichen Regelung, dass kein Vermögen anzurechnen ist, folgt, dass insgesamt überhaupt keine 4.2 Das Patientendaten-Schutz- Vermögensprüfung stattfinden soll, bleibt unklar. Auch aus der Gesetzesbegründung lässt sich keine Konkreti- Gesetz sierung ableiten. Ziel des Gesetzgebungsvorhabens war Das Patientendaten-Schutz-Gesetz (PDSG) ist am 20. es, die oftmals aufwendige und zeitintensive Vermögens­ Oktober 2020 in Kraft getreten. Es enthält umfängliche

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 35 Regelungen zur elektronischen Patientenakte (ePA) schutzrechtlichen Verantwortung in der TI gefasst (vgl. und verstößt mit den konkreten Ausgestaltungen zum 28. TB Nr. 4.2.1). Danach trägt die gematik als zentrale Zugriffsmanagement gegen die Datenschutz-Grundver- und planende Stelle der TI die datenschutzrechtliche ordnung (DSGVO). Kritisch sind auch der alternative Alleinverantwortung für die zentrale Zone der TI und Zugriff auf die ePA mittels mobiler Geräte (Smartpho- eine Mitverantwortung für die dezentrale Zone. Das ne etc.), d.h. ohne Verwendung der elektronischen PDSG regelt nunmehr explizit die Verantwortlichkeiten. Gesundheitskarte (eGK), sowie die Vorschriften zur Im Gegensatz zur Auffassung der DSK beschränkt der elektronischen ärztlichen Verordnung (E-Rezept). Das Gesetzgeber jedoch die Verantwortlichkeit der gematik E-Rezept ist die erste sogenannte Pflichtanwendung, (s. § 307 Absatz 5 SGB-V). Die gematik ist datenschutz- d.h. das PDSG enthält Vorgaben, die zwingend für alle rechtlich nur verantwortlich, soweit sie die Mittel der gesetzlich Versicherten gelten. Eine weitere wichtige Verarbeitung personenbezogener Daten bestimmt und Regelung im PDSG ermöglicht den Versicherten die keine Verantwortlichkeit der anderen – allein verant- Freigabe der Daten in der ePA für die Forschung. Vor wortlichen - Akteure (vgl. § 307 Absätze 1 bis 4 SGB-V) diesem Hintergrund fehlen wichtige Festlegungen, die besteht. Die gematik muss eine koordinierende Stelle vom Gesetzgeber – und nicht in nachgelagerten Prozes- einrichten, die Betroffenen Auskünfte zu den Verant- sen – getroffen werden müssen. wortlichkeiten erteilt. Die Normierung einer lückenlo- sen datenschutzrechtlichen Verantwortlichkeit für die Mit dem PDSG wird die Digitalisierung im Gesundheits- Datenverarbeitungen in der TI und die Einrichtung einer wesen weiter vorangetrieben. Das hierfür entwickelte koordinierenden Stelle zur Erteilung von Informationen Konzept der Telematikinfrastruktur (TI) soll Datenschutz und Auskünften an die Betroffenen sind grundsätzlich und Datensicherheit gewährleisten. Der Gesetzgeber hat zu begrüßen. Allerdings birgt die gesetzlich geregelte zu Recht in der Begründung des PDSG die Wahrung der Alleinverantwortlichkeit der Anbieter von Anwendungen Patientensouveränität als eine der wichtigsten Vorgaben auch Probleme, wie das Beispiel der ePA zeigt. betont. Trotz dieser zentralen Prämisse des PDSG wird das Ziel einer informationellen Selbstbestimmung der Versicherten vor allem im wohl größten Projekt des Gesetzes, der ePA, verfehlt.

Die Telematikinfrastruktur (TI) vernetzt alle Akteure des Gesundheitswesens im Bereich der gesetzlichen Krankenversicherung und gewährleistet den sektoren- und systemübergreifenden sowie sicheren Austausch von Informationen. Sie ist ein geschlossenes Netz, zu dem nur registrierte Nutzer (Personen oder Insti- tutionen) mit einem elektronischen Heilberufs- und Praxisausweis Zugang erhalten. Um allen Datenschutz­ anforderungen gerecht zu werden und insbesondere die medizinischen Daten von Patienten zu schützen, wird in der Telematikinfrastruktur auf starke Informati- onssicherheitsmechanismen gesetzt.

Gesetz legt datenschutzrechtliche Verantwortung fest

Anwendungen und Komponenten der TI werden von einer Vielzahl von Mitwirkenden geplant, entwickelt und betrieben. Deshalb ist es wichtig, die datenschutzrechtli- che Verantwortung klar aufzuteilen. Nur so können Betroffene ihre Rechte wahrnehmen und Behörden ihre Aufsicht effizient ausüben. Deshalb hat bereits im Elektronische Patientenakte verstößt gegen die DSGVO September 2019 die Konferenz der unabhängigen Datenschutzaufsichtsbehörden von Bund und Ländern Das im PDSG normierte Zugriffsmanagement der ePA (DSK) einen Beschluss zu ihrer Auffassung der daten- verstößt gegen die DSGVO und die Grundrechte der

36 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Versicherten. So erhalten die Versicherten zum Start der Meine Lösungsvorschläge wurden nicht berücksichtigt ePA am 1. Januar 2021 nicht die volle Hoheit über ihre bzw. im parlamentarischen Verfahren wieder aus dem eigenen Gesundheitsdaten. Das bedeutet z.B., dass im Gesetzentwurf herausgenommen. Dies betrifft z.B. Jahr 2021 kein Versicherter den Zugriff seines Arztes auf die Einrichtung von sogenannten Kassenterminals in einzelne, für die Behandlung notwendige Dokumente, den Geschäftsstellen der Krankenkassen, mit denen beschränken kann. Der Versicherte hat lediglich die Versicherte ohne eigenes Endgerät und diejenigen, die Wahl, Leistungserbringern (z.B. seinen Ärzten) entwe- kein eigenes Endgerät einsetzen wollen, innerhalb der der die Berechtigung für den Zugriff auf alle gespeicher- gesicherten TI-Umgebung in ihre ePA hätten Einblick ten Daten (Befunde, Diagnosen, Therapiemaßnahmen nehmen können. etc.) und alle von ihm selbst in die ePA eingestellten Do- Durch die Benachteiligung und Ungleichbehandlung kumente zu erteilen oder sie ganz zu verweigern. Es gilt dieser großen Gruppe von Versicherten schafft das PDSG also das Alles-oder-Nichts-Prinzip. D.h. jede Person, der eine Zweiklassengesellschaft bei der ePA. Zugriff auf ein ärztliches oder vom Versicherten selbst eingestelltes Dokument gewährt wird, kann jeweils alle Die Datenschutzaufsichtsbehörden des Bundes und der Informationen in der ePA einsehen, auch wenn dies für Länder haben diese Kritik auch in einer im September die jeweilige Behandlung nicht erforderlich ist. Erst ab 2020 verabschiedeten Entschließung öffentlich zum dem Jahr 2022 sieht das PDSG eine Verbesserung vor. Ausdruck gebracht. Dies gilt aber nur, wenn man ein mobiles Gerät (z.B. Ein weiterer zentraler datenschutzrechtlicher Kri- Smartphone, Tablet) nutzt. Ab diesem Zeitpunkt könn- tikpunkt ist das nicht den Vorgaben der DSGVO ent- ten dann mittels Smartphone oder Tablet dokumenten- sprechende Authentifizierungsverfahren der ePA mit genaue Zugriffe erteilt werden. eigenen Endgeräten. Weil Gesundheitsdaten besonders Die große Gruppe von Menschen, die kein eigenes Gerät sensibel sind, bedürfen Zugriffe auf die ePA immer besitzen oder keines benutzen wollen, wird hiervon hochsicherer Authentifizierungsverfahren, die stets nicht erfasst. Diese Versicherten werden weiterhin in dem aktuellen Stand der Technik entsprechen müssen. ihrer Patientensouveränität beschränkt. Sie können Das Verfahren der „Alternativen Versichertenidentität“, lediglich beim Leistungserbringer, z.B. in der ärztlichen mit dem Versicherte sich auch ohne Einsatz der eGK an Praxis, auf Kategorien von Dokumenten beschränkte ihrer ePA anmelden können, basiert auf einem Signa- Zugriffsrechte erteilen. Alternativ können sie einem turdienst und erfüllt diese Sicherheitsanforderungen Vertretenden mit einem geeigneten technischen Gerät nicht vollständig. Für einen datenschutzkonformen Vertretungsrechte einräumen. Nur der Vertretende kann Zustand bedarf es auch bei dieser sogenannten alter- dann für diese Personen dokumentengenaue Berech- nativen Authentifizierung der Gewährleistung eines tigungen erteilen. Dies bedeutet, dass die Versicher- höchstmöglichen Sicherheitsniveaus. Diese Gewährleis- ten dem Vertretenden alle in ihrer ePA vorhandenen tung obliegt ebenfalls den Krankenkassen. Auch wegen Gesundheitsdaten, d.h. auch intimste Informationen, dieses Mangels sind gegebenenfalls aufsichtsrechtliche offenbaren müssen. Zudem hilft die Vertretung nicht Maßnahmen gegen die Krankenkassen zu richten, um denjenigen Versicherten, die z.B. aus Sicherheits- die Ablösung durch ein geeigneteres Verfahren sicher- gründen bewusst kein Smartphone oder Tablet für die zustellen. Verwaltung ihrer ePA einsetzen wollen – und damit auch In der 2./3. Lesung des PDSG am 3. Juli 2020 hat Bundes- kein entsprechendes Gerät eines Vertretenden. gesundheitsminister Spahn im Deutschen Bundestag Datenschutzrechtlich kritisch zu bewerten ist auch, dass zutreffend betont: „(…) Datenschutz ist bei so sensiblen die Vielzahl derjenigen Menschen, die kein eigenes End- Daten wie Gesundheitsdaten wichtig, und zwar Daten- gerät haben oder nutzen wollen, auf Dauer auch keinen schutz auf höchstem Niveau. Es gibt nichts Sensibleres Einblick in ihre eigene, von ihnen selbst zu führende für den Einzelnen, nichts Persönlicheres, Intimeres als ePA haben werden. Sie werden also von einer entspre- die Daten über die eigene Gesundheit und insbeson- chenden Nutzung der ePA ausgeschlossen. Somit kann dere eine mögliche Erkrankung. Deswegen legen wir diese Personengruppe auch nicht von den Vorteilen Datenschutzstandards auf höchstem Niveau in diesem einer ePA in der Gesundheitsversorgung profitieren. Patientendaten-Schutz-Gesetz fest (…)“.

Diese gravierenden Einschränkungen der Patienten- Auch und insbesondere in meiner Funktion als Daten- souveränität stehen in Widerspruch zu elementaren schutzaufsichtsbehörde bin ich verpflichtet, auf die Be- Vorgaben der DSGVO und verstoßen damit gegen in seitigung von Verstößen gegen die DSGVO hinzuwirken. Deutschland unmittelbar geltendes europäisches Recht. Eine Umsetzung der ePA ausschließlich nach den Vor- Hierauf habe ich frühzeitig und wiederholt - auch im gaben des PDSG ist europarechtswidrig und erfordert Rahmen des Gesetzgebungsverfahrens - hingewiesen.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 37 Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 01.09.2020

Patientendaten-Schutz-Gesetz: Ohne Nachbesserungen beim Datenschutz für die Versicherten europarechts- widrig!

Der Deutsche Bundestag hat am 3. Juli 2020 das Patientendaten-Schutz-Gesetz (PDSG) entgegen der von den un- abhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder geäußerten Kritik beschlossen. Die Kritik richtet sich insbesondere gegen das nur grobgranular ausgestaltete Zugriffsmanagement, die Authentifizierung für die elektronische Patientenakte (ePA) und die Vertreterlösung für Versicherte, die nicht über ein geeignetes Endgerät verfügen. Das PDSG soll am 18. September 2020 im Bundesrat abschließend beraten werden.

Zentrale Gesetzesregelungen stehen in Widerspruch zu elementaren Vorgaben der EU-Datenschutz-Grundverord- nung (DSGVO). Entgegen des derzeitigen Entwurfs müssen die Versicherten bereits zum Zeitpunkt der Einführung der ePA am 1. Januar 2021 die volle Hoheit über ihre Daten erhalten. Dies entspricht auch den im PDSG vom Gesetzgeber selbst formulierten Vorgaben, die Patientensouveränität über die versichertengeführten ePA grund- sätzlich ohne Einschränkungen zu wahren und die Nutzung der ePA für alle Versicherten datenschutzgerecht auszugestalten.

Diese Ziele werden mit dem Gesetzentwurf nicht erreicht. Zum Start der ePA werden alle Nutzerinnen und Nutzer in Bezug auf die von den Leistungserbringern (Ärzten etc.) in der elektronischen Patientenakte gespeicherten Daten zu einem „alles oder nichts“ gezwungen, da im Jahr 2021 keine Steuerung auf Dokumentenebene für diese Daten vorgesehen ist. Das bedeutet, dass diejenigen, denen die Versicherten Einsicht in ihre Daten gewähren, alle dort enthaltenen Informationen einsehen können, auch wenn dies in der konkreten Behandlungssituation nicht erforderlich ist.

Erst ein Jahr nach dem Start der ePA, d.h. ab dem 1. Januar 2022, können lediglich Versicherte, die für den Zugriff auf ihre ePA geeignete Endgeräte (Smartphone, Tablet etc.) nutzen, eigenständig eine dokumentengenaue Kon­ trolle und Rechtevergabe in Bezug auf diese Dokumente durchführen.

Alle anderen Versicherten, die keine geeigneten Endgeräte besitzen oder diese aus Sicherheitsgründen zum Schutz ihrer sensiblen Gesundheitsdaten nicht nutzen möchten (d.h. sogenannte Nicht-Frontend-Nutzer), erhalten auch über den Stichtag 1. Januar 2022 hinaus nicht diese Rechte. Ab dem 1. Januar 2022 ermöglicht das PDSG insoweit den Nicht-Frontend-Nutzern lediglich eine Vertreterlösung. Danach können diese mittels eines Vertreters und dessen mobilem Endgerät ihre Rechte ausüben. Im Vertretungsfall müssten die Versicherten jedoch ihrem Vertreter den vollständigen Zugriff auf ihre Gesundheitsdaten einräumen.

Ein weiterer Kritikpunkt ist das Authentifizierungsverfahren für die ePA und die „Gewährleistung des erforderli- chen hohen datenschutzrechtlichen Schutzniveaus“. Da es sich bei den fraglichen Daten um Gesundheitsdaten und damit um höchst sensible persönliche Informationen handelt, muss nach den Vorgaben der DSGVO die Authentifizierung ein höchstmögliches Sicherheitsniveau nach dem Stand der Technik gewährleisten. Dies gilt insbesondere für Authentifizierungsverfahren ohne Einsatz der elektronischen Gesundheitskarte. Wenn dabei al- ternative Authentifizierungsverfahren genutzt werden, die diesen hohen Standard nicht erfüllen, liegt ein Verstoß gegen die DSGVO vor.

Der Bundesrat hat in seiner Stellungnahme zum PDSG vom 15. Mai 2020 (BR-Drs. 164/1/20, s. Ziffer 21. zu Artikel 1 Nummer 31 [§§ 334 ff. SGB V-E9]) die Bundesregierung auf erhebliche Bedenken im Hinblick auf die DSGVO-Kon- formität des PDSG hingewiesen. Seine Kritik bezieht sich im Wesentlichen auf das zum Start der ePA fehlende feingranulare Zugriffsmanagement und die daraus resultierende Einschränkung der Datensouveränität der Versicherten. Er hat die Bundesregierung aufgefordert, im weiteren Gesetzgebungsverfahren insbesondere den Regelungsvorschlag zum Angebot und zur Einrichtung der ePA (§ 342 SGB V) umfassend bezüglich datenschutz- rechtlicher Bedenken zu prüfen.

Auch im Lichte dessen fordern die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder den Bundesrat auf, anlässlich seiner für den 18. September 2020 anberaumten Beratung den Vermittlungsausschuss anzurufen, um notwendige datenschutzrechtliche Verbesserungen des PDSG noch im Gesetzgebungsverfahren zu erwirken.

38 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 daher die Verhängung aufsichtsrechtlicher Maßnahmen. diese Vorteile datenschutzkonform zu nutzen, fordere Dementsprechend habe ich den meiner Aufsicht unter- ich, dass die Prozesse zur Einführung von Authentisie- fallenden gesetzlichen Krankenkassen im November rungsmitteln im Vorfeld für die gesamte TI entwickelt 2020 eine förmliche Warnung übersandt, ihren Versi- und die Kriterien der Einstufung der Sicherheitsniveaus cherten eine rechtswidrige ePA anzubieten. transparent festgelegt werden. Eine so zentrale Funktio- nalität für die Sicherheit der TI muss auch übergreifend Die Krankenkassen stehen aufgrund der ihnen vom Ge- geregelt werden und darf nicht bloß ein Annex bei der setzgeber zugewiesenen Alleinverantwortlichkeit für die E-Rezept-Entwicklung sein. ePA in einem Dilemma. Verweigern sie die Umsetzung der ePA gemäß den Vorgaben des PDSG, drohen ihnen Beim E-Rezept findet auch ein weiterer Paradigmen- hohe, im PDSG gesetzlich festgelegte Strafzahlungen. wechsel statt: Die gematik entwickelt die E-Rezept-App Setzen sie demgegenüber das europarechtswidrige Ge- und wird sie zur Verfügung stellen. Die Aufgabe der setz um, d.h. bieten sie ihren Versicherten eine euro- gematik beschränkt sich demnach nicht, wie z.B. bei der parechtswidrige ePA an, kommen sie in den Fokus der ePA, auf die Erstellung von Spezifikationen und Sicher- Aufsichtsbehörden. Abhilfe schaffen kann hier letztlich heitsanforderungen, nach denen Hersteller Komponen- nur der Gesetzgeber. ten oder Dienste der TI anzubieten haben. Die gematik wird selbst zum Hersteller und damit auch datenschutz- Die erste Pflichtanwendung: Die elektronische ärztli- rechtlich verantwortlich. Dies hat zur Folge, dass die che Verordnung gematik ihre eigenen Entwicklungen zu prüfen und Das PDSG führt mit den Regelungen in §§ 360 und 361 zuzulassen hat. Insoweit besteht zumindest die Gefahr SGB V eine neue Anwendung ein. Ärztliche Verordnun- einer potentiellen Befangenheit. Im Rahmen der Geset- gen müssen ab dem 1. Januar 2022 elektronisch über zesberatungen konnte ich zumindest erreichen, dass ein die TI übermittelt werden. Das sogenannte E-Rezept ist externes Sicherheitsgutachten von der gematik zu beauf- damit eine Pflichtanwendung – und zwar die erste medi- tragen ist und dieses durch das Bundesamt für Sicherheit zinische überhaupt. in der Informationstechnik geprüft und bestätigt werden muss, bevor die App in Betrieb gehen darf. Rezepte im Rahmen der vertragsärztlichen Versorgung sollen immer in einem zentralen Speicher in der TI Die Verfügbarkeitsanforderungen an das E-Rezept sind abgelegt werden. Patientinnen und Patienten können natürlich sehr hoch und ebenfalls von zentraler Be- dann nur wählen, ob sie die Zugangsinformationen dazu deutung. Während der Konzeption hatte ich für eine in elektronischer Form oder – nach dem Vorbild eines dezentrale Lösung plädiert. Diese hätte gegen Ausfälle Bahn- oder Flugtickets – als Papierausdruck mit einem zentraler Dienste robuster ausgestaltet werden können. Code-Block zur Einlösung in einer Apotheke ausgehän- In der Abwägung – u.a. mit dem Schutz vor Manipula- digt bekommen wollen. tion und Rezepthandel – hat sich letztlich die geltende spezifizierte zentrale Lösung durchgesetzt. Wie bei der ePA wird es auch beim E-Rezept eine Zweiklassengesellschaft geben. Menschen, die nicht die In allen angesprochenen Aspekten zeigt sich die E-Rezept-App nutzen möchten oder können, erhalten Wichtigkeit meiner wiederholt und frühzeitig geäußer- keinen unmittelbaren Einblick in die über sie gespei- ten Forderung, die zentralen Aspekte der Anwendung cherten Daten oder erfolgten Zugriffe auf ihre Rezepte. E-Rezept im Gesetz zu verankern. Der Gesetzgeber muss für eine Pflichtanwendung wie das E-Rezept selbst Zur Authentisierung in der E-Rezept-App gegenüber dem zentrale Entscheidungen treffen und Leitplanken im E-Rezept-Server sieht das PDSG nicht vor, ein alternati- Gesetz vorgeben, ohne sich auf eine spezifische Tech- ves Verfahren ohne eGK anzuwenden. Nutzende werden nik festzulegen. Bedauerlicherweise wurde dies nicht deshalb ihre eGK über Near Field Communication (NFC) umgesetzt, so dass zentrale Fragestellungen nunmehr mit dem Endgerät verbinden. Hierbei werden die Daten nachgelagert, insbesondere im Rahmen der technischen kontaktlos über eine kurze Strecke von wenigen Zenti- Spezifikationen, von der gematik entschieden werden. metern ausgetauscht. Im Rahmen der Einführung der Im PDSG fehlen u. a. Regelungen zur Zweckbindung, Anwendung E-Rezept wird in der TI dazu ein Identity Datenspeicherung und zu technischen Grundsätzen und Provider aufgebaut – ein Dienst der zunächst nur für das Kontrollmöglichkeiten für alle Versicherten. Damit - und E-Rezept - später potentiell für alle Anwendungen der TI vor dem Hintergrund der herausragenden Bedeutung - das Authentisieren der Nutzenden übernimmt und die der Anwendung für die Versorgungssicherheit - sind Identifizierung bestätigt. Somit soll das zentrale Thema die Regelungen zur Einführung der elektronischen Authentisierung aus den Anwendungen ausgelagert Verordnung nicht hinreichend normenklar und ergän- werden. Dies ist für die Einführung und Sicherheitsbe- zungsbedürftig. Lediglich in Bezug auf die Normierung wertung von Authentisierungsmitteln von Vorteil. Um einer Regelung zur Speicherdauer der E-Rezepte ist der

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 39 Gesetzgeber meinem Petitum im PDSG gefolgt. Auch auch, dass die Nutzungsberechtigten zur Geheimhaltung die konkrete Gestaltung der Anwendung E-Rezept muss verpflichtet sind und sich bei Verstoß gegen die Vorga- sich an den Vorgaben der Datenschutz-Grundverord- ben strafbar machen. Allerdings konnte ich erreichen, nung messen lassen. Prüfschwerpunkt wird neben den dass für die Nutzung der ePA-Daten ein gegenüber der Maßnahmen zur Sicherheit der Daten auch die Sicher- Datentransparenz reduzierter Kreis als nutzungsberech- stellung der Verfügbarkeit sein. tigt aufgeführt ist: Nur diejenigen, zu deren Aufgaben die Forschung auch tatsächlich gehört. Freigabe der ePA-Daten für die Forschung, § 363 SGB V. Auch der Übermittlungsweg der Daten läuft entspre- Eine weitere wichtige neue Regelung im PDSG ermög- chend den Regelungen der Datentransparenzvorschrif- licht den Versicherten die Freigabe der in ihrer ePA ten in §§ 303a ff SGB V über eine Vertrauensstelle. gespeicherten Daten für die medizinische Forschung. Bereits in der Ressortberatung konnte ich hier wesent- Grundsätzlich entspricht diese Konzeption der Freigabe liche Verbesserungen erreichen, so dass ab 2023 diese an das FDZ datenschutzrechtlichen Anforderungen. Lei- wertvollen und begehrten Gesundheitsdaten auf eine der hat das Bundesministerium für Gesundheit meine datenschutzgerechte Weise genutzt werden können. Die bisherigen Hinweise, das FDZ bei einer unabhängigen Forschung mit Gesundheitsdaten ist für die Gesellschaft Stelle anzusiedeln, nicht aufgegriffen. Aufgrund der von erheblicher Bedeutung. Andererseits sind diese Bedeutung der medizinischen Forschung und der hohen Daten besonders sensibel. Ihre Verarbeitung unter- Sensibilität der betroffenen medizinischen Daten sollte liegt nach § 363 SGB V besonderen Anforderungen und eine unabhängige Stelle mit dieser Aufgabe betraut wer- Schutzmaßnahmen. Zu diesen gehört, dass die Freigabe den, um auf diese Weise das Vertrauen der Versicherten freiwillig und nur auf Veranlassung des Versicherten zu gewinnen. sowie mit seiner ausdrücklichen, jederzeit widerrufli- Direkte Freigabe für die wissenschaftliche Forschung chen Einwilligung zulässig ist. Auch der Umfang kann frei bestimmt und auf ausgewählte Dokumente be- Bei der Freigabe direkt an die Forschung sind außer der schränkt werden. Zudem werden die Daten zum Schutz Einwilligung leider keine weiteren Vorgaben festgelegt. der Betroffenen pseudonymisiert und verschlüsselt Kritisch aus datenschutzrechtlicher Sicht ist zudem, übermittelt. dass der Begriff der Einwilligung überdehnt wurde. Eine Einwilligung für „bestimmte Bereiche der wissenschaft- Die Regelung enthält zwei verschiedene Wege der lichen Forschung“, wie sie in § 363 Absatz 8 SGB V vor- Freigabe für die Forschung, die sich hinsichtlich ihrer gesehen ist, ist nur unter bestimmten Voraussetzungen datenschutzrechtlichen Bewertung unterscheiden: zulässig. Grundsätzlich kann eine freiwillige Einwilli- Einerseits ist eine Freigabe an das Forschungsdatenzen- gung nur erteilt werden, wenn der Zweck der Verarbei- trum (FDZ) beim Bundesinstitut für Arzneimittel und tung konkret beschrieben wird. Die breite Einwilligung Medizinprodukte (BfArM) möglich, das die Daten dann („broad consent“) ist in der DSGVO nur ausnahmsweise für Forschungswecke zur Verfügung stellt, andererseits vorgesehen, wenn eine genaue Bezeichnung nicht mög- ist eine Freigabe direkt an die Forschung vorgesehen. lich ist. Aber auch dann muss der Zweck so genau wie Forschungsdatenzentrum möglich beschrieben werden. Weitere Ausführungen der DSK zu den Voraussetzungen der breiten Einwilligung Bei der Freigabe an das FDZ werden die Daten dort finden sich in ihrem Beschluss vom 5. April 2019, über gespeichert und nach Prüfung der Voraussetzungen für den ich in meinem 28. Tätigkeitsbericht (Nr. 4.5.1, S. 34) die Forschung zur Verfügung gestellt. Das Verfahren berichtet habe. Trotz meiner Hinweise fehlen die erfor- orientiert sich an den Vorgaben für die Nutzung der derlichen Vorgaben jedoch in der gesetzlichen Regelung. Versorgungsdaten, die aufgrund der Datentransparenz- Ich werde mich bei den Beratungen zur technischen vorschriften der §§ 303a ff SGB V beim FDZ vorgehalten Umsetzung weiter dafür einsetzen, dass noch Verbesse- werden. Diese Vorschriften wurden durch das Digita- rungen und Maßnahmen zur verfahrensmäßigen Absi- le-Versorgung-Gesetz im Dezember 2019 neu gefasst, cherung der Datenübermittlung implementiert werden, über das ich in meinem 28. Tätigkeitsbericht (Nr. 5.6, S. um eine datenschutzrechtlich zulässige Freigabe und 45) berichtet habe. Nutzung zu erreichen. Daraus folgt ein geregeltes Antragsverfahren mit Änderung des § 68b SGB V ausdrücklich benannten Nutzungsberechtigten und konkret benannten zulässigen Zwecken. Das FDZ prüft Ebenfalls geändert durch das PDSG wurde § 68b SGB Geeignetheit und Erforderlichkeit der beantragten Daten V. Diese bereits mit dem Digitale-Versorgungsgesetz nach Umfang und Struktur in Bezug auf den vorgesehe- (DVG) geschaffene Norm eröffnet den Krankenkassen nen Zweck. Wichtig für den Schutz der Daten ist dabei die Möglichkeit, Versorgungsinnovationen zu fördern.

40 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Dazu dürfen sie die versichertenbezogenen Daten, die Das Informationsmaterial muss über: sie rechtmäßig erhoben und gespeichert haben, im → alle relevanten Umstände der Datenverarbeitung für erforderlichen Umfang auswerten. Zuvor sind die Daten die Einrichtung der elektronischen Patientenakte zu pseudonymisieren und - soweit möglich - zu anony- misieren. Eine Datenübermittlung an Dritte ist ausge- → die Übermittlung von Daten in die elektronische schlossen. Patientenakte Nach der ursprünglichen Fassung des DVG durften die → die Verarbeitung von Daten in der elektronischen Krankenkassen die Auswertung von Versichertendaten Patientenakte durch Leistungserbringer einschließ- und die Unterbreitung von Informationen und individu- lich der damit verbundenen Datenverarbeitungs- ellen Angeboten nur vornehmen, wenn der Versicherte vorgänge in den verschiedenen Bestandteilen der zuvor schriftlich oder elektronisch eingewilligt hat. Telematikinfrastruktur Mit dem PDSG wurde dieses Einwilligungserfordernis → die für die Datenverarbeitung datenschutzrechtlich nunmehr hinsichtlich der Datenauswertung und der Verantwortlichen Unterbreitung individueller Versorgungsangebote durch ein Widerspruchsrecht ersetzt, das sich lediglich auf die informieren. konkrete Angebotsunterbreitung bezieht. Der Spitzenverband Bund der Krankenkassen (GKV-SV) Diese Änderung bewerte ich äußerst kritisch. Mit der ist nach § 343 Absatz 2 SGB V verpflichtet worden, den gänzlichen Abschaffung des Einwilligungserfordernisses Krankenkassen bei der Erfüllung ihrer Informations- und der fehlenden Widerspruchsmöglichkeit in Bezug pflichten zu helfen, indem er geeignetes Informations- auf die Datenauswertung sind insbesondere vulnerable material – auch in elektronischer Form – erstellt und Gruppen unter den Versicherten den Auswertungen den Krankenkassen zur verbindlichen Nutzung zur durch die Krankenkasse ausgesetzt. Eine tatsächliche Verfügung stellt. Dieses Informationsmaterial hat er im Freiwilligkeit der Teilnahme an den Versorgungsange- Einvernehmen mit mir zu erstellen, wobei das Einver- boten sollte nach meiner Auffassung damit verbunden nehmen spätestens bis zum 30. November 2020 herge- sein, dass sich die Versicherten im Vorfeld gegen die Ein- stellt sein muss (§ 343 Absatz 2 SGB V). beziehung ihrer Daten in die Auswertung zum Zwecke Nach intensiven Beratungen hat der GKV-SV eine Ver- der Angebotsunterbreitung entscheiden können. sion der Informationstexte vorgelegt, zu der ich recht- Ich hatte im Rahmen des Gesetzgebungsverfahrens zum zeitig vor dem Fristablauf mein Einvernehmen erklärt PDSG keine Möglichkeit, zu der nunmehr geltenden habe. Fassung des § 68b SGB V Stellung zu nehmen. Diese Än- Querverweis: derung wurde erst im Nachgang zur Ressortabstimmung in der Endphase des parlamentarischen Verfahrens 5.7 Datentransparenzverordnung beschlossen. Deshalb habe ich meine Bedenken nach- träglich gegenüber dem BMG geäußert, um in einem der laufenden Gesetzgebungsverfahren eine datenschutz- konforme Anpassung des § 68b SGB V zu erreichen. Des Weiteren behalte ich mir aufsichtsrechtliche Maßnah- men gegenüber den Krankenkassen im Hinblick auf die konkreten Verfahrensumsetzungen vor, soweit diese nicht in Einklang mit der Datenschutz-Grundverordnung stehen.

Informationstexte nach § 343 SGB V – Einvernehmen mit BfDI

Mit dem PDSG wurde außerdem ein neuer § 343 in das SGB V eingeführt. Dieser verpflichtet die Krankenkas- sen, bevor sie ihren Versicherten nach § 342 Absatz 1 Satz 1 SGB V eine elektronische Patientenakte anbieten, umfassendes, geeignetes Informationsmaterial in prä- ziser, transparenter, verständlicher und leicht zugäng- licher Form, in einer klaren, einfachen Sprache und barrierefrei zur Verfügung zu stellen.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 41 4.3 Umsetzung der Schrems II- EuGH bereits festgestellt, dass die Standardvertragsklau- Entscheidung des Europäischen seln ohne zusätzliche Maßnahmen dieses gleichwertige Schutzniveau nicht bieten können. Ebenso dürfen die Gerichtshofes Auswirkungen des Urteils auf andere Drittländer sowie auf weitere Übermittlungsinstrumente gemäß Art. 46 Das Schrems II-Urteil des Europäischen Gerichts- DSGVO, z. B. verbindliche interne Datenschutzvorschrif- hofs (EuGH) hat für viel Aufsehen gesorgt: Von der ten - BCR, die durch den europäischen Datenschutzaus- Unwirksamkeitserklärung des Privacy Shields über schuss (EDSA) bereits transparent aufgearbeitet wurden, Standardvertragsklauseln, die in der Regel nicht mehr nicht verkannt werden. Der EDSA wird baldmöglichst ohne Weiteres anwendbar sein werden, bis zu den – ergänzend zu den bereits erfolgten Veröffentlichun- sogenannten „zusätzlichen Maßnahmen“. Die massiven gen – weitere Details zu den Auswirkungen des Urteils Auswirkungen auf internationale Datenübermittlungen auf die BCR (Art. 46 (2) (b) DSGVO) und die sogenannten an Drittländer sind für Verantwortliche und Auftrags- Ad hoc Vertragsklauseln gemäß Art.46 (3) (a) DSGVO) verarbeiter deutlich spürbar und bergen, nicht zuletzt veröffentlichen.10 auch für die Aufsichtsbehörden, hohe Anforderungen an die Umsetzung. Umsetzung

Das Schrems II-Urteil Der EuGH hat zudem eine klare Aufgabenzuweisung vorgenommen. Unternehmen sowie öffentliche Stellen In meinem letzten Tätigkeitsbericht hatte ich bereits sind verpflichtet, eigenhändig die Rechtmäßigkeit ihrer über das laufende sog. Schrems II-Verfahren (EuGH: Datentransfers in Drittländer zu überprüfen und gege- Rechtssache C-311/18)8 berichtet. In dem Verfahren ging benenfalls anzupassen. Hierbei werden sie durch die es darum, ob die geltenden Standardvertragsklauseln für Aufsichtsbehörden beraten und kontrolliert. die Übermittlung von personenbezogenen Daten in die USA ausreichen. Standardvertragsklauseln sind das in Bereits unmittelbar nach dem Urteil habe ich zusammen der Praxis meistverwendete Instrument, um die für eine mit meinen Kolleginnen und Kollegen auf nationaler Übermittlung in einen Drittstaat notwendigen geeigne- und europäischer Ebene begonnen, Hilfestellungen für ten Garantien nachzuweisen. Außerdem wurde erwar- Verantwortliche und Auftragsverarbeiter (Datenexpor- tet, dass sich der EuGH zur Wirksamkeit des „Privacy teure) zu erarbeiten. Shields“ 9 äußern würde. Ferner habe ich am 8. Oktober 2020 ein Informati- Am 16. Juli 2020 hat der EuGH schließlich das weg- onsschreiben zur „Auswirkung der Rechtsprechung weisende Schrems II-Urteil verkündet und hierin die des EuGH auf den internationalen Datentransfer“ an Regelungen des „Privacy Shields“ für unwirksam erklärt. die öffentlichen Stellen des Bundes sowie die meiner Für die Datenübermittlungen in die USA bedeutete der Aufsicht unterliegenden Unternehmen adressiert und Wegfall des Privacy Shields eine einschneidende Verän- zusätzlich auf meiner Webseite veröffentlicht.11 Darin derung. Darüber hinaus hat der EuGH noch einmal klar- habe ich die Kernaussagen des Urteils zusammengefasst gestellt, dass personenbezogene Daten von EU Bürgern und verdeutlicht, wie mein Haus den Anforderungen des nur an Drittländer übermittelt werden dürfen, wenn sie EuGH gerecht werden will. Ich habe die Datenexporteu- in diesem Drittland einen im Wesentlichen gleichwerti- re daher auf ihre Verpflichtung zur Prüfung der Daten- gen Schutz genießen wie in der EU. Dabei hat der EuGH übermittlung an Drittländer hingewiesen und zudem zwar das Instrument der Standardvertragsklauseln nicht darauf aufmerksam gemacht, wann eine Meldepflicht grundsätzlich in Frage gestellt. Allerdings legte das mir gegenüber besteht. Die Reaktionen der meiner Auf- Gericht fest, dass diese gegebenenfalls um sog. „zusätz- sicht unterstehenden Unternehmen und Behörden auf lichen Maßnahmen“ ergänzt werden müssten, damit die das Informationsschreiben werde ich auswerten und sie Daten im Drittland einen im Wesentlichen gleichwerti- im Nachgang gezielt zu direkten Datenübermittlungen in gen Schutz genießen wie in der EU. Für die USA hat der spezifischen Bereichen befragen. Ferner wird die Umset-

8 Schrems II-Urteil des EuGH vom 16. Juli 2020, Rechtssache C-311/18

9 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes.

10 Empfehlungen Schrems II-des EDSA v. 10. November 2020, abrufbar unter: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/ 2020/recommendations-012020-measures-supplement-transfer_en.

11 Informationsschreiben des BfDI vom 8. Oktober 2020, abrufbar unter: www.bfdi.bund.de/rundschreiben.

42 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 zung des Schrems II-Urteils regelmäßig Schwerpunkt bei Zum anderen wurden am 10. November 2020 im EDSA zukünftigen Beratungs- und Kontrollbesuchen sein. die Empfehlungen zu den „zusätzlichen Maßnahmen“ („Recommendations 01/2020 on measures that supple- Auf meiner Webseite unterstütze ich zudem Verantwort- ment transfer tools to ensure compliance with the EU liche und Auftragsverarbeiter mit aktuellen Informati- level of protection of personal data“)14 angenommen. onen zur Thematik, z. B. einer Zusammenfassung der Die Empfehlungen sollen die Datenexporteure dabei Kernaussagen des Schrems II-Urteils, ein Prüfschema zu unterstützen herauszufinden, ob sie ihre Datenüber- Übermittlungen an Drittländer und durch Verlinkungen mittlungen durch zusätzliche Maßnahmen ergänzen auf relevante Webseiten (z. B. des EDSA).12 müssen. Außerdem halten die Empfehlungen praktische Im EDSA konnten unter meiner sowie der Mitarbeit wei- Beispiele zu Übermittlungsszenarien bereit. terer deutscher Aufsichtsbehörden bereits wenige Tage Mit dem Schrems II-Urteil hat der EuGH die Datenexpor- nach der Urteilsverkündung schnelle Hilfestellungen für teure, aber auch die datenschutzrechtlichen Aufsichts- die Datenexporteure erarbeitet werden. Es handelt sich behörden, vor keine leichte Aufgabe gestellt. Die Arbeit dabei zum einen um „FAQs“ - Häufig gestellte Fragen an der Umsetzung der Schrems II–Anforderungen wird - zum Urteil des Gerichtshofs der Europäischen Union alle auf nationaler und europäischer Ebene voraussicht- in der Rechtssache C-311/18 — Data Protection Com- lich noch einige Zeit in Atem halten. Dabei werde ich missioner gegen Facebook Ireland Ltd und Maximillian mich weiterhin engagieren, die Umsetzung des Schrems Schrems.13 II-Urteils des EuGH zu unterstützen und voranzutreiben, gerade auch durch Beratung für Unternehmen und Be- hörden, die Datentransfers in Drittstaaten vornehmen.

12 Informationen auf der BfDI Webseite, abrufbar unter: https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/Auswirkungen- Schrems-II-Urteil.html.

13 Vom EDSA am 23. Juli 2020 angenommenen FAQ‘ s abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/ohrajn/frequently- asked-questions-judgment-court-justice-european-union_en.

14 Empfehlungen „Schrems II“ des EDSA v. 10. November 2020, abrufbar unter: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/ 2020/recommendations-012020-measures-supplement-transfer_en.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 43 5 Gesetzgebung

5.1 Registermodernisierung vorgelegten Entwurf des RegMoG ausgeht. Selbst die bis- herige Verwendung im Steuerbereich wäre nicht mehr Die Registermodernisierung ist ein zentraler Baustein gesichert. für eine zukunftsgewandte moderne Verwaltung. Die bisher im Entwurf eines Registermodernisierungsge- In diesem Sinne habe ich in meinen Stellungnahmen setzes geplante Nutzung der Steuer-ID als einheitliches zum Gesetzesentwurf (siehe u. a. meine Stellungnahme und übergreifendes Personenkennzeichen begegnet al- an den Innenausschuss des Bundestages vom 21. Okto- lerdings erheblichen verfassungsrechtlichen Bedenken ber 2020 www.bfdi.bund.de/stellungnahmen) versucht, und stellt damit das Vorhaben grundlegend in Frage. das Bewusstsein für die Dringlichkeit einer sicheren und verfassungskonformen Ausgestaltung nochmals zu Schon in meinen beiden letzten Tätigkeitsberichten schärfen. Klar ist: Eine funktionierende Registermoder- habe ich mich zur Registermodernisierung geäußert nisierung wird es ohne eine rechtssichere und eindeu- (siehe 28. TB Nr. 5.5, 27. TB Nr. 9.2.2) und hierbei deut- tige Identifizierung einzelner Personen nicht geben lich gemacht, wie wichtig eine verfassungskonforme können. Aber ein universeller Identifikator wie die Ausgestaltung für die notwendige weitere Digitalisierung Steuer-ID, der mit dem hohen Risiko behaftet ist, nach der Verwaltung ist. Schließlich profitiert nicht zuletzt einem jahrelangen Prozess vom Bundesverfassungsge- auch der Datenschutz von modernen Infrastrukturen richt verworfen zu werden, hat das Potential, die digitale und Verfahren. Verwaltung in Deutschland womöglich wieder um Jahre Mit einem einheitlichen, bereichsübergreifenden zurückzuwerfen. Selbst wenn er in der einen oder ande- Personenkennzeichen wie der Steuer-ID, die im aktuell ren Form Bestand haben sollte: Wie beschädigt wird das vom Bundestag beratenen Entwurf eines Registermo- Vertrauen in dieses Instrument sein? Dies auch, weil bei dernisierungsgesetzes (RegMoG) 2020 so vorgesehen der Einführung der Steuer-ID im Jahre 2007 die aus- ist, verpasst der Gesetzgeber jedoch die Chance, einen drückliche Zusicherung gegeben wurde, diese in jedem Identifikator so zu gestalten, dass er den Anforderungen Fall auf den Steuerbereich zu beschränken und niemals einer modernen Verwaltung ebenso genügt wie dem als allgemeines Personenkennzeichen zu verwenden. Schutz der Bevölkerung und ihrem verfassungsmäßi- Nachbesserungsbedarf gen Recht auf informationelle Selbstbestimmung. Statt breiter Zustimmung zu einem möglichen großen Wurf Deshalb muss aus meiner Sicht der gegenwärtige Ent- bei der Digitalisierung, wie sie unter anderem durch die wurf an folgenden Stellen nachgebessert werden: sehr frühe Beteiligung der Datenschutzkonferenz und Der Entwurf muss sich von der Idee eines Ausbaus der meiner Behörde an der Vorbereitung des Gesetzesent- Steuer-ID zu einem einheitlichen, bereichsübergreifen- wurfs durchaus greifbar war, trifft das Vorhaben nun den Personenkennzeichen lösen, zumal die Steuer-ID von vielen Seiten auf fundamentale Kritik. keinen ausreichenden Schutz vor Missbrauch bietet. Mit Die Datenschutzkonferenz hat in ihren Entschließungen bereichsspezifischen Kennzeichen oder weiteren krypto- vom 12. September 2019 und 26. August 2020 ausdrück- graphischen Methoden gibt es modernere Alternativen. lich davor gewarnt, die Steuer-ID in dieser Weise als Das Gesetz muss überdies eine starke Zweckbindung des Personenkennzeichen zu verwenden und sie vollständig Identifikators garantieren: Er darf nur zur Identitäts- von ihrer ursprünglichen Zweckbestimmung zu lösen. feststellung zur Erbringung von digitalen Verwaltungs- Auch der Bundesrat (BR Drs. 563/20) und der Wissen- dienstleistungen verwendet werden. Dies ist im Entwurf schaftliche Dienst des Bundestages (WD 3 - 3000 - 196/20) bisher nicht sichergestellt, gerade weil nach den allge- erkannten die verfassungsrechtliche Gefahr, die vom meinen Regelungen der DSGVO zweckändernde Verwen-

44 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 dungen gefunden werden können und der Identifikator 5.2 Die Digitalisierung der Verwal- sich so unkontrolliert verbreitet. Erst in der öffentlichen tung schreitet voran Verwaltung, dann irgendwann auch in der Gesellschaft und Privatwirtschaft. Die Digitalisierung der Verwaltungen in Bund und Ländern wird politisch priorisiert und mit Nachdruck Der Gesetzentwurf trifft zudem bislang keine ausrei- vorangetrieben. Die Corona-Pandemie hat diese Ent- chenden Vorkehrungen, den Datenaustausch zwischen wicklung weiter beschleunigt. verschiedenen Verwaltungsbereichen ausreichend gegen Missbrauch, Identitätsdiebstahl und Profilbildung Mit dem Gesetz zur Digitalisierung von Verwaltungsver- abzusichern. Das im Entwurf enthaltene sog. „4-Cor- fahren bei der Gewährung von Familienleistungen (Dig- ner-Modell“ ist zwar ein guter Ansatz, der mit verschlüs- FamG) wurden auch Änderungen am Onlinezugangsge- selten „doppelten Umschlägen“ arbeitet und für die setz (OZG) vorgenommen. Diese sollen die Bereitschaft Übermittlungsberechtigung eine dritte Stelle nutzt. Dies der Bürgerinnen und Bürger sowie der Unternehmen allein genügt aber nicht, alle relevanten Risiken adäquat oder sonstigen juristischen Personen steigern, Verwal- einzudämmen. Das Modell kann in missbräuchlicher tungsdienstleistungen künftig nicht mehr wie herkömm- Absicht umgangen werden und schützt zudem nicht aus- lich analog, sondern digital in Anspruch zu nehmen. Die reichend gegen die Zusammenführung personenbezoge- Corona-Pandemie beschleunigt nicht nur diese Entwick- ner Daten durch externe Angreifer. Hinzu kommt, dass lung. Sie zeigt auch, wie wichtig es ist, dieses digitale das 4-Corner-Modell – entgegen den Ankündigungen Angebot zu schaffen. aus dem Koalitionsausschuss vom 3. Juni 2020 – unter Bei der Nutzung digitaler Verwaltungsdienstleistungen Missachtung des Stands der Technik allein bei bereichs- ist mir wichtig, dass diese weiterhin freiwillig erfolgt, übergreifender Übermittlung eingesetzt werden soll. d. h. kein Zwang zur Anwendung besteht. Es muss auch Da sich bereits andeutet, dass nur wenige große Verwal- in absehbarer Zukunft noch möglich sein, Verwaltungs- tungsbereiche gebildet werden, wird das 4-Corner-Mo- geschäfte analog vor Ort zu erledigen. Die Bürgerinnen dell für einen großen Teil der Datenübermittlungen also und Bürger müssen diesbezüglich die freie Wahl haben. gar nicht zur Anwendung kommen. Darüber hinaus müssen sie jederzeit transparent nach- Mithin darf auch der Steuerbereich nicht von den verfolgen können, wer, zu welchem Zweck, wie, wo und notwendigen Sicherheitsmaßnahmen ausgenommen wie lange ihre personenbezogene Daten verarbeitet. bleiben. Mit Einführung des geplanten Identifikators Ein Mittel, das sie hierbei unterstützen könnte, ist das wird schließlich auch er ein allgemeines Personenkenn- geplante Datenschutzcockpit (vgl. hierzu Nr.5.1 Register- zeichen verwenden; die singuläre Steuer-ID im bisheri- modernisierung). gen Sinn hört faktisch auf zu bestehen. Interoperabilität der Bürgerkonten Zuletzt muss mit der Digitalisierung der Verwaltung Die Bundesregierung hat mit dem OZG die Vorausset- auch der Datenschutz im Übrigen fortentwickelt wer- zungen für eine Vernetzung der Verwaltungsportale des den. Das im Entwurf aufgenommene Datencockpit ist Bundes, der Länder und Kommunen geschaffen. Bürge- hierbei ein wichtiger und guter erster Schritt bei der rinnen und Bürger sollen bei einem Verwaltungsportal Schaffung von Transparenz. Die Weiterentwicklung ihrer Wahl Zugang zu allen online angebotenen Ver- dieses Instruments sollte aber von Anfang mitgedacht waltungsleistungen erhalten, ohne sich dazu mehr als werden, um am Ende Bürgerinnen und Bürger mit dem einmal identifizieren zu müssen (Single Sign-On, SSO). Staat auf Augenhöhe zu bringen. Wenn der Staat in Um die dafür erforderliche Interoperabilität der Ange- Sekundenschnelle Daten abrufen kann, dann müssen bote des Bundes, der Länder und der Kommunen zu Betroffene dies nicht nur nachvollziehen, sondern das ermöglichen, haben Bund und Länder eine Verwaltungs- Heft auch selbst in die Hand nehmen können. Nur die vereinbarung abgeschlossen, die den Betrieb der für die Möglichkeit, selbst die eigenen Daten aus den Registern Interoperabilität erforderlichen Dienste und Kompo- und Datenbanken des Staates abrufen zu können, schafft nenten durch eine Stelle beim Freistaat Bayern vorsieht. letztlich eine Art von Waffengleichheit. Auf mein Betreiben und das meiner Kolleginnen und Querverweis: Kollegen in den Ländern umfasst diese Vereinbarung auch Regelungen zur Wahrnehmung der gemeinsamen 3.1.2 Registermodernisierung verfassungskonform Verantwortung für die Verarbeitung personenbezoge- umsetzen ner Daten gemäß Art. 26 DSGVO. Dadurch können z. B. Betroffene zur Wahrnehmung ihrer Betroffenenrechte stets einen Ansprechpartner finden.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 45 Für die Interoperabilität der Nutzerkonten ist ein ver- te geltend machen können. Allerdings sehe ich die bindlicher Rahmen für die Bewertung der Vertrauens- Notwendigkeit, dass für weitere geplante Funktionen würdigkeit der Identifizierungssysteme erforderlich, die des Bundesportals, wie z. B. eine Antragsübersicht, vor den Zugang zu allen Verwaltungsleistungen des Bundes, deren Aufnahme in den Produktivbetrieb entsprechende der Länder und Kommunen ermöglichen. Dieser Rechts- Verarbeitungsbefugnisse normiert werden müssen. rahmen wurde auf europäischer Ebene mit der Verord- Querverweis: nung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische 5.1 Registermodernisierung Identifizierung und Vertrauensdienste für elektroni- sche Transaktionen (eIDAS-Verordnung) geschaffen. In Übereinstimmung mit der eIDAS-Verordnung sieht das 5.3 IT-Sicherheitsgesetz 2.0 OZG die Verwendung von Identifizierungsmitteln für die Die Cyber- und Informationssicherheit sind essenti- Vertrauensstufen „niedrig“, „substantiell“ und „hoch“ elle Vertrauensanker der Digitalisierung. Das mit der vor. Für das Niveau „hoch“ ist bislang nur der Perso- Novelle des IT-Sicherheitsgesetzes verfolgte Ziel eines nalausweis mit eID-Funktion geeignet. Daneben wird verbesserten Schutzes von Gesellschaft und Wirtschaft befristet die Möglichkeit zur Nutzung von ELSTER-Soft- in der digitalen Welt muss aber datenschutzrechtliche warezertifikaten zum Nachweis der Identität in den Erfordernisse berücksichtigen. Nutzerkonten sowohl von natürlichen Personen als auch von Organisationen geschaffen. Bis zum 30. Juni 2023 IT-Sicherheit war und ist neuralgischer Punkt für die werden die ELSTER-Softwarezertifikate für das Vertrau- Digitalisierung und auch für den Schutz personenbezo- ensniveau „substantiell“ anerkannt. Erfreulich ist, dass gener Daten. Datenschutz und IT-Sicherheit sind dabei mit dem ELSTER Softwarezertifikat ein Identifizierungs- zwangsläufig miteinander verzahnt. Schließlich soll mittel für das Vertrauensniveau „substantiell“ angeboten IT-Sicherheit den Missbrauch, unberechtigten Zugang wird, bislang das Einzige für dieses Vertrauensniveau. und die unberechtigte Nutzung personenbezogener Daten ausschließen, so dass IT-Sicherheitsrisiken stets In Übereinstimmung mit der eIDAS-Verordnung wurden auch Datenschutzrisiken sind. außerdem Regelungen zur Identifizierung von Perso- nen und Organisationen aus EU-Mitgliedstaaten sowie Ein erster Entwurf eines IT-Sicherheitsgesetzes 2.0 zur Identifizierung durch anerkannte private Anbieter wurde mir bereits im Frühjahr 2019 auf Ressortebene getroffen. Im Berichtszeitraum wurde der erste deut- zugeleitet. Ursprünglich geplante, aus meiner Sicht über- sche Anbieter eines Identifizierungssystems von der bordende und deshalb datenschutzrechtlich kritische, Bundesregierung anerkannt. Anbieter privatrechtlicher Neuregelungen im Straf- und Strafprozessrecht wurden Identifizierungssysteme für SSO-Zwecke bieten ihren in einem neuen Entwurf nicht mehr verfolgt. Kontoanbietern an, dass diese mit Einwilligung der Bei dem Gesetzgebungsverfahren ist mir insgesamt Nutzer eine pseudonymisierte digitale Werbe-Identität besonders wichtig, dass die gemeinsame Verantwor- zur persönlichen Ansprache der Kontonutzenden ver- tung und Partnerschaft zwischen dem Bundesamt für wenden können. Eine solche digitale Werbe-Identität ist Sicherheit in der Infomationstechnik (BSI) und meinem mit den Werbe-IDs von Smartphones vergleichbar und Haus gestärkt wird. Zentrale Voraussetzung für eine ermöglicht die Nutzerkonto-übergreifende Profilierung effektive beidseitige Aufgabenerledigung ist in diesem des Nutzungsverhaltens. Die Nutzer privatrechtlicher Zusammenhang eine valide Informationsbasis. Deshalb Identifizierungsmittel müssen über die Folgen der ist es wichtig, dass das BSI, das zu einer wichtigen Infor- Einwilligung in die Generierung einer pseudonymisier- mationsdrehscheibe für IT-Sicherheit ausgebaut werden ten digitalen Identität für die personalisierte Ansprache soll, mich auch in Zukunft aktiv über erkannte Sicher- (Werbung) in klarer und verständlicher Art und Weise heitsrisiken und –vorfälle in der Informationstechnik aufgeklärt werden. informiert. Bundesportal und Nutzerkonto Bund Kritisch im Gesetzentwurf sehe ich u.a. eine Ausweitung Ich begrüße, dass auf mein Betreiben hin mit dem Dig- der Speicherung von Protokolldaten von drei auf zwölf FamG auch die Verantwortlichkeiten für das Bundespor- Monate. Argumentiert wird, diese Ausweitung sei für ei- tal und das Nutzerkonto Bund im E-Government-Gesetz nen effektiven Schutz und eine effektive Aufklärung von geregelt sowie Rechtsgrundlagen für die Verarbeitung Cyberangriffen unerlässlich. Denn Cyberangriffe wür- von personenbezogenen Daten im Bundesportal und den sich typischerweise über einen längeren Zeitraum von Zugriffsrechten geschaffen worden sind. Dies gibt erstrecken und nur mit vorhandenen Protokolldaten sei Rechtssicherheit und Klarheit für die Nutzerinnen eine Rekonstruktion des Angriffs und eine bestmögliche und Nutzer, z. B. darüber, wo sie ihre Betroffenenrech- Schadensbeseitigung möglich. Die Motivation für die

46 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 längere Speicherdauer ist nachvollziehbar, sie rechtfer- nahmen der übrigen beteiligten Ressorts zugänglich tigt aus meiner Sicht aber nicht ihre erhebliche Aus- gemacht wurden. Eine essentielle Auseinandersetzung weitung und wirft Fragen der Verhältnismäßigkeit auf. mit anderen Beteiligten war so nicht möglich. Zudem habe ich an verschiedenen Stellen dafür plädiert, Kritikpunkte im IT-Sicherheitsgesetz klarer herauszuarbeiten, welche konkreten personenbezogenen Daten für welche Zwecke Meine inhaltliche Kritik am Referentenentwurf betrifft verarbeitet werden. die vorgesehenen Veränderungen in der Aufsicht über den BND und verschiedene materiell-rechtliche Rege- Für das BSI ist das IT-Sicherheitsgesetz mit einem lungen. erheblichen Verantwortungs- und Aufgabenzuwachs verbunden. Korrespondierend hierzu wird auch der Ein wesentlicher materiell-rechtlicher Kritikpunkt liegt Mehraufwand meines Hauses für die Beratung, Kontrol- in der nicht hinreichenden Umsetzung der vom BVerfG le und Prüfung datenschutzrechtlicher Vorgaben bei der vorgegebenen Beschränkungen für Datenübermittlun- Umsetzung der neuen Prüf-, Abfrage- und Kontrollbefug- gen durch den BND an andere in- und ausländische nisse des BSI deutlich steigen. öffentliche und nichtöffentliche Stellen. Meine Beden- ken gegen die beabsichtigte Ausgestaltung der Übermitt- Meine Stellungnahme vom 18. Dezember 2020 finden Sie lungsvorschriften wurden vom Bundeskanzleramt zwar unter: www.bfdi.bund.de/stellungnahmen teilweise berücksichtigt und die Übermittlungsvorschrif- ten als Korrektiv der umfassenden Datenerhebungen der 5.4 Novellierung des Gesetzes über strategischen Ausland-Fernmeldeaufklärung teilweise verbessert. Dennoch blieben andere wichtige Aspekte den Bundesnachrichtendienst zur weiteren Ausgestaltung der Übermittlungsbeschrän- kungen unberücksichtigt, obwohl die Vorschriften nach Das Bundesverfassungsgericht (BVerfG) hat den Ge- den Vorgaben des BVerfG gerade entscheidend sind, ein setzgeber verpflichtet, Vorschriften des Gesetzes über Gegengewicht zur umfangreichen, anlasslosen Datener- den Bundesnachrichtendienst (BNDG) zur sogenannten hebung im Rahmen der strategischen Ausland-Fernmel- Ausland-Ausland-Fernmeldeaufklärung bis zum 31. deaufklärung zu schaffen. Dezember 2021 zu novellieren (vgl. 6.4). Die Abstim- mung des Referentenentwurfs erfolgte in Anbetracht Zu den von mir geäußerten Bedenken gehört auch der erheblichen Grundrechtsrelevanz mit unangemes- die im Gesetzentwurf vorgesehene Möglichkeit der senem Zeitdruck. Übermittlung von Daten, die vom BND zum Zweck der politischen Unterrichtung der Bundesregierung erho- In meiner ersten Stellungnahme zum Referentenent- ben werden, an die Inlandsnachrichtendienste oder die wurf habe ich meine Kritik am engen Zeitplan für die Polizeien zum dortigen Erkenntnisgewinn. Derartige Ressortbefassung zum Ausdruck gebracht. Der in der Daten sollen nach der Intention des BVerfG-Urteils nur Ressortbesprechung am 7. Oktober 2020 – nur eine gute zur politischen Unterrichtung der Bundesregierung Woche nach Übersendung des Referentenentwurfs an erhoben und grundsätzlich auch nur direkt zu diesem die Ressorts– vom Bundeskanzleramt erklärte Zeitplan, Zweck an die Bundesregierung übermittelt werden das BNDG innerhalb nur eines Monats im Kabinett dürfen. Die vom Bundeskanzleramt vertretene Ansicht, einzubringen, verstieß in eklatanter Weise gegen die dass die Inlandsnachrichtendienste oder die Polizeien Vorgaben der Gemeinsamen Geschäftsordnung der diese Daten zur eigenen Weiterleitung an die Bundesre- Bundesministerien und das Erfordernis einer frühzeiti- gierung erhalten dürfen, geht aus meiner Sicht zu weit. gen Beteiligung meines Hauses. Es war ausgeschlossen, Diese mit dem zweiten Referentenentwurf eingefügte das komplexe Regelwerk innerhalb einer derart kurzen Ausweitung der Übermittlungsbefugnisse stellt eine Zeitspanne mit der gebotenen Sorgfalt und Tiefe zu Verschlechterung des Datenschutzes im Verhältnis zum prüfen. Auch wenn das Bundeskanzleramt seinen Zeit- ersten Referentenentwurf dar und begegnet erheblichen plan später modifizierte und das Kabinett den Entwurf verfassungsrechtlichen Bedenken. erst am 16. Dezember 2020 angenommen hat, ist eine Gesamtberatungszeit von zusammengerechnet nur drei Die vom Urteil des BVerfG ausgehenden Änderungs- Monaten für insgesamt vier verschiedene, inhaltlich erfordernisse in anderen nachrichtendienstlichen zum Teil erheblich geänderte Referentenentwürfe mit Gesetzen (z.B. dem BVerfSchG) zu den Übermittlungs- jeweils wenigen Tagen Kommentierungsfrist schlicht vorschriften waren hingegen nicht Gegenstand dieses unangemessen. Auch zur Vermeidung verfassungsrecht- Gesetzgebungsverfahrens. Ermächtigungsgrundlagen licher Risiken wäre hier die Einhaltung des Grundsatzes des BND zu Übermittlungen außerhalb des BNDG wur- „Gründlichkeit vor Schnelligkeit“ dringend geboten den wie die allgemeinen Übermittlungsvorschriften im gewesen. Ich kritisiere auch, dass mir keine Stellung- BNDG nicht angepasst, was absehbar jedenfalls zu einer

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 47 Verfassungswidrigkeit der allgemeinen Übermittlungen ten Unabhängigen Kontrollrat. Dieser soll einerseits im BNDG führen dürfte. eine mit abschließenden Entscheidungsbefugnissen verbundene gerichtsähnliche Kontrolle sicherstellen, Hervorzuheben ist, dass in anderen Bereichen, wie der die wesentlichen Verfahrensschritte der strategi- etwa dem Vertraulichkeitsschutz, meine Anregungen schen Ausland-Fernmeldeüberwachung unterliegen. zum Anlass für gesetzliche Verbesserungen genommen Zudem soll er im Wege der administrativen Kontrolle wurden. Die Normen zum Vertraulichkeitsschutz bei der stichprobenmäßig die Rechtmäßigkeit des gesamten strategischen Ausland-Fernmeldeaufklärung und dem Prozesses der strategischen Überwachung überprüfen. Eingriff in informationstechnische Systeme zur Gefah- Der Bereich der administrativen Kontrolle überlappt renfrüherkennung waren zunächst so zu verstehen, dass sich dabei mit meiner Aufsichtszuständigkeit, da ich die nur die Berufsträger (z.B. Journalisten, Rechtsanwälte) Datenverarbeitungen des BND im Bereich der strategi- vom Vertraulichkeitsschutz erfasst wurden, nicht aber schen Ausland-Fernmeldeaufklärung bereits vollständig die Kommunikationsbeziehung unter Einbeziehung der kontrolliere. Gesprächspartner als solche geschützt wurde. Dies wur- de im Gesetzentwurf nachgebessert. Es fehlt allerdings Mit der Zusammenführung der gerichtsähnlichen und eine allgemeine Vorschrift abseits der Spezialregelungen der administrativen Kontrolle unter das Dach einer zur strategischen Ausland-Fernmeldeaufklärung und neuen obersten Bundesbehörde werden Synergieeffekte dem Eingriff in informationstechnische Systeme. nicht genutzt, die entstanden wären, wenn die admi- nistrative Rechtskontrolle – wie vom BVerfG als eine Die mit der Gesetzesnovelle erstmals normierte Befugnis Lösungsvariante vorgesehen – mir übertragen worden des BND für Eingriffe in informationstechnische wäre. Statt in meiner Behörde vorhandene und gerade Systeme im Ausland zur Datenerhebung per „Hacking“ auch im Bereich der Aufsicht über die Nachrichten- und die Befugnis zur Weiterleitung dieser Daten an die dienste des Bundes bewährte Kontrollstrukturen mit Inlandsdienste sowie Polizei- und Strafverfolgungsbe- erfahrenem Personal zu nutzen, soll mit erheblichen hörden ist ebenfalls verfassungsrechtlich erheblich Mitteln in kürzester Zeit bis Ende des Jahres 2021 eine bedenklich. Meine Bedenken gegen derartige, besonders in der Detailarbeit funktionierende neue, gleichwohl intensive Eingriffe zur Datenerhebung und die damit in der Nachrichtendienstkontrolle aber unerfahrene verbundenen Übermittlungsvoraussetzungen wurden Aufsichtsbehörde aus dem Boden gestampft werden. vom Bundeskanzleramt nicht berücksichtigt. Da diese auch noch an den Standorten des BND in Berlin und Pullach angesiedelt werden soll, womöglich unmittelbar auf dessen Liegenschaften, ergeben sich auch Zweifel im Hinblick auf die vom BVerfG geforderte Distanz. Diese Zweifel werden dadurch verstärkt, dass das neue Kontrollorgan die Personalverwaltung auf das Bundeskanzleramt und damit auf die dem BND überge- ordnete Behörde übertragen kann, wozu der geplante Unabhängige Kontrollrat aufgrund fehlender eigener Strukturen wohl gezwungen sein dürfte. Im Ergebnis wird durch die Existenz einer weiteren Aufsichtsbehörde die Kontrolllandschaft im Bereich der Nachrichtendiens- te noch unübersichtlicher. Ohne umfassende Koopera- Neue Aufsichtsbehörde tionsbefugnisse der Kontrollstellen untereinander wird die Kontrolle des BND zwangsläufig erschwert. Auch Besondere Relevanz haben schlussendlich die Regelun- deshalb ist es notwendig, das Kooperationsverhältnis gen zur Umsetzung der vom BVerfG gemachten Vorga- zwischen dem Unabhängigen Kontrollrat und meiner ben für eine unabhängige objektivrechtliche Kontrolle Behörde gesetzlich so auszugestalten, dass ein inhaltli- der Maßnahmen des BND im Bereich der strategischen cher Austausch über die konkreten Kontrollen erfolgen Ausland-Fernmeldeüberwachung. Obwohl mit meiner darf und muss. Hier erfüllt der Gesetzentwurf noch Behörde eine völlig unabhängige oberste Datenschutz­ nicht alle Erwartungen und sollte im parlamentarischen aufsichtsbehörde in Deutschland existiert, die über Verfahren dringend nachgebessert werden. eine hohe Kompetenz und langjährige Erfahrung in der Datenschutz- und damit der Nachrichtendienstkontrol- Querverweis: le des BND und der Inlandsgeheimdienste des Bundes 6.3 FMA-Urteil verfügt, beabsichtigt die Bundesregierung die Schaffung einer neuen obersten Bundesbehörde, den sogenann-

48 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 5.5 Gesetzgebungsverfahren zur Militärischen Abschirmdienst, die dem Grunde nach Änderung des Verfassungsschutz- sicherlich richtig ist, lässt sich auf Basis des bisherigen Gesetzentwurfs nicht im Einklang mit der Verfassung rechts verwirklichen. Grundvoraussetzung dafür, dass die Zusammenarbeit zwischen den Inlandsgeheimdiensten Die bestehende Gesetzeslage im Verfassungsschutz- intensiviert und ausgebaut werden kann, sind verfas- recht lässt derzeit die Quellen-Telekommunikations- sungskonforme gesetzliche Übermittlungsregelungen überwachung im nachrichtendienstlichen Bereich zwischen den betreffenden Behörden. Spätestens nach sowie eine Intensivierung der Zusammenarbeit zwi- den Feststellungen des Bundesverfassungsgerichts in schen Verfassungsschutzbehörden und Militärischem der Entscheidung zur Ausland-Ausland-Fernmeldeauf- Abschirmdienst nicht zu. Dies soll durch eine Gesetzes- klärung sind die Übermittlungsregelungen des Bundes- novelle geändert werden. verfassungsschutzgesetzes und des Gesetzes über den Mit Kabinettsbeschluss vom 21. Oktober 2020 hat die Militärischen Abschirmdienst grundlegend reformbe- Bundesregierung einen Gesetzesentwurf zur Änderung dürftig. des Verfassungsschutzrechts in den Deutschen Bundes- Der Gesetzgeber sollte sich daher derzeit ausschließ- tag eingebracht. Aus datenschutzrechtlicher Sicht habe lich darauf konzentrieren, das Verfassungsschutzrecht ich zu dem Entwurf bereits Stellung genommen (Mein entsprechend der verfassungsrechtlichen Anforderun- Dokument vom 4. November 2020 finden Sie unter: gen von Grund auf zu reformieren. Erst nachdem dies www.bfdi.bund.de/stellungnahmen). Die parlamentari- vollständig gelungen ist, sollte er auf Basis einer gewis- schen Beratungen sind zum Zeitpunkt des Redaktions- senhaften Evaluation der Notwendigkeit und Wirksam- schlusses noch nicht abgeschlossen. keit nachrichtendienstlicher Kompetenzen über eine Gegenstand des Gesetzgebungsvorhabens ist es ins- Ausweitung nachrichtendienstlicher Datenverarbeitun- besondere, den Nachrichtendiensten die Befugnis zur gen oder gar eine Ausweitung nachrichtendienstlicher Quellen-Telekommunikationsüberwachung einzuräu- Befugnisse nachdenken. Dabei muss er auch besonderes men sowie den Informationsaustausch zwischen den Augenmerk darauf legen, ob etwaige Befugniserweite- Verfassungsschutzbehörden und dem Militärischen rungen wirklich erforderlich sind oder ob nicht vielmehr Abschirmdienst durch erweiterte Möglichkeiten gemein- die Polizei- und Strafverfolgungsbehörden mit ihren samer Datenhaltung technisch auszubauen. schon bestehenden Befugnissen die staatlichen Bedürf- nisse bereits abdecken. Nicht zuletzt die im vergangenen Jahr ergangenen ver- fassungsgerichtlichen Entscheidungen zur Ausland-Aus- Querverweise: land-Fernmeldeaufklärung (BVerfG, Urteil vom 19. Mai 5.3 Novellierung des Gesetzes über den Bundesnachrich- 2020 – 1 BvR 2835/17) und zur Bestandsdatenauskunft tendienst, 6.3 FMA-Urteil (BVerfG, Beschluss vom 27. Mai 2020 – 1 BvR 1873/13, 1 BvR 2618/13) haben einmal mehr deutlich werden lassen, dass Umfang und Ausmaß des Reformbedarfs im 5.6 Die Verordnung zu den „Apps Verfassungsschutzrecht dramatisch sind. Die Rege- lungssystematik, -dichte und -tiefe der entsprechenden auf Rezept“ Vorschriften weisen generell nicht die notwendige Patienten erwarten bei verordneten Gesundheitsapps Konsistenz und Qualität auf, die Nachrichtendienste im zu Recht, dass ihre Daten vertraulich bleiben. Um dies Einklang mit den verfassungsrechtlichen Vorgaben zu in sicherzustellen, müssen die Regelungen in der Digita- Grundrechte eingreifende Maßnahmen zu ermächtigen. le-Gesundheitsanwendungen Verordnung DiGAV nach- Anstatt an diesen Defiziten etwas zu verbessern, sieht gebessert werden – eine Selbsterklärung der Hersteller der Gesetzentwurf demgegenüber vor, die ohnehin kann hier nicht reichen. schon verfassungsrechtlich nicht belastbare Gesetzesla- Im April 2020 ist die DiGAV in Kraft getreten. Sie soll die ge weiter zu strapazieren. Gerade die Einführung einer Vorschriften des Gesetzes für eine bessere Versorgung so tiefgreifenden und folgenschweren Maßnahme wie durch Digitalisierung und Innovation (Digitale-Versor- der Quellen-Telekommunikationsüberwachung bedarf gung-Gesetz – DVG – siehe hierzu meinen 28. Tätigkeits- eines umfassenden, stringenten und belastbaren gesetz- bericht Nr. 5.6) zu den Digitalen Gesundheitsanwen- lichen Gesamtkonzepts, das alle Vorgaben des Bundes- dungen (DiGAs), insbesondere §§ 33a und 139e Fünftes verfassungsgerichts berücksichtigt. Buch Sozialgesetzbuch (SGB V), konkretisieren. Einge- Auch die Intensivierung des Informationsaustauschs führt wurde in § 33a SGB V ein Anspruch der gesetzlich zwischen den Verfassungsschutzbehörden und dem Krankenversicherten auf eine Versorgung mit DiGAs, die

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 49 von Ärzten und Psychotherapeuten verordnet werden § 139e SGB V und in der DiGAV gefordert werden, auch können und durch die Krankenkasse erstattet werden. tatsächlich eingehalten werden. Voraussetzung hierfür ist, dass die jeweilige DiGA ein Darüber hinaus fehlen klarstellende Regelungen zur Prüfverfahren beim Bundesamt für Arzneimittel und datenschutzrechtlichen Verantwortlichkeit. Zu welchen Medizinprodukte (BfArM) erfolgreich durchlaufen hat Zwecken und unter welchen Voraussetzungen der Her- und in einem Verzeichnis erstattungsfähiger digitaler steller die mit der DiGA erhobenen Daten verarbeiten Gesundheitsanwendungen aufgeführt ist. Details zu die- darf, wird in § 4 Abs. 2 DiGAV aufgeführt. Allerdings sem sog. „Fast-Track-Verfahren“, des schnellen Zugangs können darüber hinaus noch andere Stellen Zugang von DiGAs zum ersten Gesundheitsmarkt, sind in der zu den sensiblen Gesundheitsdaten erhalten, je nach DiGAV enthalten. konkretem Verwendungszusammenhang der DiGA, zum Meine grundsätzlichen Bedenken gegen die Verfahren Beispiel Ärzte oder andere Leistungserbringer. Häufig zur Sicherstellung eines hinreichenden Datenschutz- kann ein DiGA-Hersteller in seiner „Datenschutz-Selbst- und Datensicherheitsniveaus bei den DiGAs habe ich erklärung“ gegenüber dem BfArM vieles nicht verläss- bereits im Gesetzgebungsverfahren zum DVG gegen- lich beantworten. Damit ist eine Transparenz für den über dem Bundesgesundheitsministerium und dem Nutzer nicht gewährleistet. Vielmehr wäre eine umfas- Ausschuss für Gesundheit des Deutschen Bundestages sende Aufklärung der Nutzer darüber, welche Personen/ vorgebracht. Leider wurden sie auch in der DiGAV nicht Einrichtungen im Rahmen der DiGA-Nutzung Zugriff auf berücksichtigt und gelten uneingeschränkt fort. welche ihrer Gesundheitsdaten erhalten, vorab erfor- derlich. Leider ist weder im DVG noch in der DiGAV ein So habe ich immer wieder auf datenschutzrechtliche Be- Ansprechpartner für Betroffenenrechte vorgesehen, der denken hinsichtlich des Vertriebs von Gesundheits-Apps im konkreten Verwendungszusammenhang umfassend über Plattformen der Unternehmen Apple und Google Auskunft geben könnte. Klarstellungen, die ich gefordert hingewiesen. Problematisch beim Download der DiGAs hatte, wurden nicht getroffen. über kommerzielle App-Stores ist, dass sensible Gesund- heitsdaten an unberechtigte Dritte und auch die App-Store- Ich hoffe sehr, dass zukünftige Gesetze und Verordnun- Betreiber gelangen können (z. B. über den Umstand der gen zur weiteren Digitalisierung des Gesundheitswesens Nutzung einer Depressions-App o. ä. - die Metadaten diese Defizite beheben. können in diesen Fällen sehr sensibel sein). Die digita- len Gesundheitsanwendungen sollten daher nicht über „öffentlich zugängliche digitale Vertriebsplattformen“ 5.7 Datentransparenzverordnung wie die der US-amerikanischen Unternehmen über- Die Datentransparenzverordnung konkretisiert die mittelt werden. Stattdessen sollte ein App-Store in der Vorgaben im SGB V und trifft nähere Festlegungen für Telematikinfrastruktur geschaffen werden, der von die Datenverarbeitung im Forschungsdatenzentrum. Akteuren des Gesundheitssystems betrieben wird, die Leider fehlen Regelungen zur Umsetzung des Wider- der gesetzlichen Schweigepflicht unterliegen. Natürlich spruchrechts. besteht auch während der Nutzung der DiGA die Gefahr, dass die Hersteller der mobilen Endgeräte oder andere Mit der novellierten Datentransparenzverordnung vom Dritte etwa durch die Einbindung von Tracking- oder 19. Juni 2020, die am 11. Juli 2020 in Kraft trat, werden Analysetools sensible Gesundheitsdaten erhalten und die Aufgaben und das Verfahren der Datentransparenz Gesundheitsprofile erstellen. nach §§ 303a bis 303e SGB V konkretisiert. Durch das Digitale-Versorgung-Gesetz vom 9. Dezember 2019, über Vertraulichkeit und Verantwortlichkeit nicht gesichert das ich in meinem 28. Tätigkeitsbericht (Nr. 5.6, S. 45) Transparenz für die Nutzenden ist ein ganz wesentlicher berichtet habe, hat das Verfahren der Datentransparenz Aspekt, insbesondere wenn die freiwillige, informierte, eine Reihe von Änderungen erfahren, so dass auch die ausdrückliche Einwilligung der Nutzenden die Rechts- Verordnung neu gefasst werden musste. Das Bundes- grundlage für die Verwendung der DiGA darstellt. Im ministerium für Gesundheit (BMG) hat mich hier zwar DVG, in der DiGAV und erläuternd im Leitfaden des frühzeitig eingebunden, dennoch waren am Ende die BfArM zum „Fast Track Verfahren“ nach § 139e SGB V mir gesetzten Fristen auch hier wieder sehr kurz bemes- wird zwar abstrakt aufgeführt, dass Datenschutz und sen: Der Entwurf selbst wurde schließlich mit einer Frist Datensicherheit einzuhalten sind. Problematisch ist von lediglich 12 Kalendertagen zur Stellungnahme an aber, dass nur eine Selbsterklärung der DiGA-Hersteller die Ressorts versandt. vorgesehen ist, die jedoch keinerlei rechtliche Verbind- Insgesamt ließen die Formulierungen des Entwurfs lichkeit entfaltet, und somit nicht sicher nachgewiesen erkennen, dass dem Datenschutz grundsätzlich ein werden kann, dass Datenschutzanforderungen, die in

50 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 hoher Stellenwert zugemessen wurde. Dies begrüße ich nicht umgesetzt. Dies ist bedauerlich, hätte dies doch die ausdrücklich, da ein nachweislich sorgsamer Umgang bei Bürgerinnen und Bürgern bestehende, mir aufgrund mit den hier betroffenen sensiblen Gesundheitsdaten verschiedener Eingaben bekannte Besorgnis gegenüber wesentlich für die Akzeptanz in der Bevölkerung ist. der verpflichtenden staatlichen Datensammlung und Diese ist nötig, da es sich bei den Datenzulieferungen -haltung mildern können. Das BMG hat signalisiert, für das Forschungsdatenzentrum (FDZ) aufgrund der demnächst außerhalb der Datentransparenzverordnung Datentransparenzregelungen um die Abrechnungsdaten ein geordnetes Widerspruchsverfahren zu etablieren. der mehr als 70 Mio. gesetzlich Versicherten handelt. Den Fortgang dieser Bemühungen werde ich weiter Zudem war der Datenumfang durch das DVG erweitert beobachten. Meine Bitte, ein allgemeines Widerspruchs- worden. Zur Transparenz gegenüber den Betroffenen recht vorzusehen, hat das BMG nicht aufgegriffen. trägt bei, dass nunmehr die einzelnen Datenkategorien Querverweis: in der Verordnung genannt sind und sich nicht hinter Verweisen auf andere Normen verstecken. 7.3 Register im Gesundheitswesen

In dieser Verordnung wird auch festgelegt, dass das Bundesinstitut für Arzneimittel und Medizinprodukte 5.8 Die Grundrente kommt - aber (BfArM) die Forschungsdatenbank führt und das Robert Koch-Institut als Vertrauensstelle für die Pseudonymi- auch datenschutzgerecht ? sierung der Daten sorgt. Die Forschungsdatenbank ist Die finanzielle Besserstellung durch die Einführung wegen des Umfangs der Daten und deren Sensibilität der Grundrente ist gesellschaftlich begrüßenswert. Die von besonderer Bedeutung. Umso wichtiger wäre es geplante Form der Anspruchsprüfung greift allerdings gewesen, die Aufgabenzuweisung in diesem Zusammen- in das Recht auf informationelle Selbstbestimmung ein. hang nicht in einer Verordnung, sondern durch Gesetz vorzunehmen. Ich habe daher – bisher leider vergeblich – Wer über viele Jahre hinweg in die gesetzliche Renten- angeregt, zeitnah eine entsprechende Änderung des versicherung mit unterdurchschnittlichem Einkommen § 303a SGB V vorzusehen. eingezahlt hat, soll im Alter finanziell besser abgesi- chert sein. Dies ist Ziel des Gesetzes zur Einführung der Die Benennung des BfArM als Halterin der Forschungs- Grundrente (Grundrentengesetz) zum 1. Januar 2021. datenbank ist problematisch, da das BfArM zugleich zu dem im Gesetz konkret benannten Kreis von Nutzungs- Am Gesetzgebungsverfahren wurde ich beteiligt. Meine berechtigten zählt, die nach Prüfung eines entsprechen- datenschutzrechtlichen Einwände fanden jedoch keine den Antrages Daten zur Verfügung gestellt bekommen. Berücksichtigung. So könnte das BfArM über seinen eigenen Antrag ent- Das Grundrentengesetz sieht die Nutzung der steuer- scheiden. Hier fehlt die erforderliche Unabhängigkeit, lichen Identifikationsnummer außerhalb des Besteu- die für ein geordnetes Verfahren, das auch datenschutz- erungsverfahrens durch die Träger der gesetzlichen rechtliche Aspekte gebührend beachtet, unabdingbar ist. Rentenversicherung vor. Vor dem Hintergrund der In der Verordnung wurde diese Unvereinbarkeit gelöst, verfassungsgerichtlichen Rechtsprechung zur Schaf- indem festgelegt wurde, dass das BfArM selbst keine fung eines einheitlichen Personenkennzeichens ist dies Daten erhalten kann. Diese Regelung sehe ich mit einer verfassungsrechtlich problematisch. Dies gilt umso gewissen Skepsis, da sie die gesetzlich eingeräumte mehr, als dass aktuell von der Bundesregierung geplant Nutzungsberechtigung des BfArM konterkariert. Auch ist, im Zuge der Registermodernisierung ebenfalls die deshalb werde ich die Antragsbearbeitung im BfArM zu steuerliche Identifikationsnummer als einheitliches gegebener Zeit sorgfältig prüfen. Personenkennzeichen für alle Bürgerinnen und Bürger Neue Widerspruchregelung notwendig einzuführen (s. 5.1 Registermodernisierung).

Zudem hatte ich empfohlen, Regelungen zur Umsetzung Bei der Berechnung der Grundrente ist nicht nur das des Rechts der Betroffenen zum Widerspruch nach Art. Einkommen der rentenberechtigten Person, sondern 21 Abs. 6 DSGVO vorzusehen, auch wenn die Vorausset- auch das der mit ihr in Ehe oder Lebenspartnerschaft zungen nur in wenigen besonderen Fällen tatsächlich lebenden Person maßgebend. Den Trägern der gesetz- vorliegen dürften. Das Recht besteht unabhängig von ei- lichen Rentenversicherung wird deshalb die Befugnis ner Umsetzungsregelung. Aus Gründen der Rechtsklar- eingeräumt, auch die steuerliche Identifikationsnummer heit sollte hier allerdings ein Verfahren vorgegeben wer- des Ehegatten oder der Lebenspartnerin beim Bun- den, da der Widerspruch vernünftigerweise nicht beim deszentralamt für Steuern abzufragen und für einen FDZ selbst, sondern bereits bei der jeweiligen Kranken- automatisierten Datenabgleich mit den Finanzbehör- kasse zu erklären ist. Diese Empfehlung wurde leider den bei der Einkommensprüfung zu nutzen. Neben

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 51 der beschriebenen Problematik um die Nutzung der Stand der jeweiligen Verfahren sind daher wesentlich. steuerlichen Identifikationsnummer außerhalb des Be- Daher darf „vertrauensvolle Kommunikation“ zwischen steuerungsverfahrens verletzt dieser Datenabgleich den verschiedenen Behörden nicht dazu führen, dass die Be- datenschutzrechtlichen Ersterhebungsgrundsatz und hörden durch die Digitalisierung mehr über die Bürge- greift so in die Rechte auf informationelle Selbstbestim- rinnen und Bürger wissen als diesen bewusst ist. Hierbei mung Dritter ein. kommt es vor allem auf die Umsetzung in der Praxis an, die ich weiterhin kritisch begleiten werde. Querverweis: Digitalisierung weiterer Verwaltungsverfahren 5.1 Registermodernisierung Mit dem Gesetz wurden durch Änderungen des Online- zugangsgesetzes (OZG) und des E-Government-Gesetzes 5.9 Das Digitale Familienleistungen- (EGovG) weitere datenschutzrechtliche Regelungen für Gesetz das Nutzerkonto sowie für die Verarbeitung personen- bezogener Daten im Verwaltungsportal des Bundes ge- Digitale Familienleistungen als erster Schritt einer schaffen (vgl. hierzu Nr 5.2). Diese Rahmenbedingungen umfassenden Verwaltungsdigitalisierung? Weniger – die auch für die Digitalisierung weiterer Verwaltungs- Papierkram nur mit mehr Datenschutz. verfahren genutzt werden können – sind ausnahmslos durch eine freiwillige Teilnahme der Bürgerinnen und Das Gesetz zur Digitalisierung von Verwaltungsverfah- Bürger und ein hohes Maß an Datensicherheit geprägt. ren bei der Gewährung von Familienleistungen (Digi- Hier konnte ich im Gesetzgebungsverfahren zahlreiche tale-Familienleistungen-Gesetz) vom 3. Dezember 2020 Impulse setzen, die der Gesetzgeber aufgegriffen hat. verspricht weniger Papierkram bei wichtigen Familien- leistungen wie dem Elterngeld, dem Kindergeld oder Im Gesetz selbst hatte ich darüber hinaus gefordert, dem Kinderzuschlag. Die Digitalisierung dieser Anträge soweit die Übertragungswege und weitere datenschutz- soll den Anfang einer umfassenden Verwaltungsdigitali- rechtlich relevante Aspekte zwischen der Datenstelle der sierung bilden. Dies begrüße ich grundsätzlich. Aller- Rentenversicherung (DSRV) und den nach § 12 Absatz dings wurde die Verwaltungsdigitalisierung im Schnell- 1 des Bundeselterngeld- und Elternzeitgesetzes (BEEG) verfahren umgesetzt. Enge Zeitpläne waren in diesem zuständigen Behörden geregelt werden, auch ein Einver- ambitionierten Gesetzgebungsverfahren von Beginn an nehmen mit mir vorzusehen (§ 108a Absatz 4 SGB IV). der Tagesordnung. Im Ergebnis ist die Digitalisierung Ich bedauere, dass dieser Anregung nicht gefolgt wurde. von Elterngeld, Kindergeld oder dem Antrag auf Ertei- Mit dem Gesetz werden die Rechtsgrundlagen für die lung einer Geburtsurkunde freiwillig, setzt im Wesentli- Datenübermittlungen zur Nutzung des rvBEA-Verfah- chen die Einwilligung der Antragsteller voraus und stellt rens15 für die Abfrage von Entgeltdaten bei den Arbeitge- – was auch so bleiben muss – eine Alternative neben der bern auch für Elterngeld geschaffen (§ 108a SGB IV, § 9 immer noch möglichen Papierantragsstellung dar. Absatz 2 BEEG). Den zuständigen Elterngeldstellen der Länder wird die Möglichkeit eröffnet, das Datenabfra- Das Ziel des Digitale-Familienleistungen-Gesetz, der ge- und Übermittlungsverfahren der DSRV zu nutzen. Beginn des digitalen Antragsverfahrens im Sozialrecht Die Antragsteller müssen daher nicht mehr selbst die zu sein, findet meine uneingeschränkte Unterstützung. erforderlichen Entgeltbescheinigungen ihres Arbeitge- Dies gilt auch für die hier gefundene Einwilligungsmög- bers vorlegen, sondern die DSRV fragt im Auftrag der El- lichkeit. Einwilligung im Sinne der DSGVO bedeutet terngeldstellen der Länder die Entgeltdaten elektronisch allerdings „informierte Einwilligung“. Die Bürgerin und bei den Arbeitsgebern ab und leitet diese anschließend der Bürger muss wissen, in welche Datenverarbeitung an die Elterngeldstellen weiter. Hinsichtlich der noch sie oder er einwilligt. Hierauf wird es bei der Umsetzung zu vereinbarenden Rahmenvereinbarung, in der die des Gesetzes ankommen. Im Sozialrecht gilt in vielen Modalitäten dieser – rechtssystematisch einzigartigen – Bereichen zudem der Direkterhebungsgrundsatz, das Auftragserteilung geregelt werden, werde ich meine heißt, Daten sind unmittelbar beim Betroffenen zu Beratung anbieten. erheben. Hiervon wird durch das Gesetz deutlich abge- wichen, wenn auch zur Bequemlichkeit der betroffenen Ich begrüße ausdrücklich, dass die zuständige Eltern- Antragsteller. Transparenz und Kontrolle durch die geldstelle die Abfrage und Übermittlung der Entgeltbe- Bürger und Bürgerinnen über ihre eigenen Daten und scheinigungen nach § 108a SGB IV nur dann beauftragt, die jederzeitige Möglichkeit der Einsichtnahme in den wenn die Antragstellerinnen und Antragsteller ihr

15 „rv“ steht für Rentenversicherung; „BEA“ steht für Bescheinigungen elektronisch anfordern und annehmen.

52 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 gegenüber sowohl in die Datenabfrage als auch in die nikationsgesetz (TKG), umgesetzt. Ziele des Kodex sind Datenübermittlung ihrer Entgeltbescheinigungsdaten der Ausbau und die Nutzung von Netzen mit sehr hoher eingewilligt haben. Kapazität, die Gewährleistung eines nachhaltigen und wirksamen Wettbewerbs sowie die Interoperabilität der Das alles zeigt, dass die Digitalisierung komplexer Telekommunikationsdienste. Ferner sollen die Zugäng- Verwaltungsverfahren, an denen neben den Bürger und lichkeit und die Sicherheit von Netzen und Diensten ge- Bürgerinnen verschiedene öffentliche und private Stel- währleistet sowie die Interessen der Endnutzer gefördert len aus Bund und Ländern beteiligt sind, keine einfache werden. Bürgerinnen und Bürgern sollen erschwingliche und schnelle, aber eben auch eine lösbare Aufgabe ist. und hochwertige Telekommunikationsdienste bereitge- Verwaltungsdigitalisierung und die damit einhergehen- stellt werden. Im Rahmen der Umsetzung in nationales de – sehr wünschenswerte – Verwaltungsvereinfachung Recht wird auch der zentrale Begriff des Telekommuni- darf nicht zu Lasten der Rechte, der Mitwirkungs- und kationsdienstes deutlich erweitert. Dieser war bisher in Kontrollmöglichkeiten der Bürger und Bürgerinnen § 3 Nr. 24 TKG (alt) definiert und wird zukünftig in der gehen. Digitalisierung sollte vielmehr dazu genutzt wer- neuen Vorschrift des § 3 Nr. 55 TKG gesetzlich verankert den, die Transparenz und Mitwirkungsmöglichkeiten für sein. Daher werden nun auch insbesondere Messen- Bürger und Bürgerinnen zu erhöhen. ger-Dienste, E-Maildienste und Videokonferenzdienste Die den in den nächsten Jahren folgenden weiteren Ge- unter den Begriff des Telekommunikationsdienstes setzgebungsvorhaben zur Digitalisierung bei Antragsver- fallen. Somit könnte sich in Zukunft meine Datenschutz­ fahren im Sozialrecht werde ich konstruktiv begleiten. aufsicht auch auf diese Dienste erstrecken. Gemäß § 9 Bundesdatenschutzgesetz (BDSG) ist nämlich der BfDI zuständig für die Aufsicht über Unternehmen, soweit 5.10 Aktuelle Gesetzgebung und diese für die geschäftsmäßige Erbringung von Telekom- sonstige Regelungen im Telekom- munikationsdienstleistungen Daten von natürlichen munikationsbereich oder juristischen Personen verarbeiten. Leider ist nicht absehbar, wann die Gesetze in Kraft Mehrere Gesetze im Telekommunikationsbereich müs- treten werden. sen zeitnah an europäisches Recht angepasst werden. E-Privacy-Verordnung Dies wird aber nach derzeitigem Stand nicht fristge- recht erfolgen. Auch die E-Privacy-Verordnung lässt Zur Überarbeitung der E-Privacy-Richtlinie, die durch weiter auf sich warten. eine – in den Mitgliedstaaten unmittelbar geltende – E-Privacy-Verordnung ersetzt werden soll, habe ich Bereits in meinem letzten TB (Nr. 5.2) habe ich moniert, bereits ausführlich berichtet (vgl. 26. TB Nr. 17.2.4.1; 27. dass zahlreiche Gesetze immer noch nicht an die Daten- TB Nr. 15.1.2; 28. TB Nr. 5.2). Während die Europäische schutz-Grundverordnung (DSGVO) angepasst worden Kommission bereits am 10. Januar 2017 den Entwurf der sind. Auch die E-Privacy-Richtlinie ist seit Jahren nur E-Privacy-Verordnung vorgelegt und das Europäische unzureichend umgesetzt. Insbesondere die Vorgaben Parlament den Berichtsentwurf des federführenden zu Cookies entsprechen nicht dem europäischen Recht. LIBE-Ausschusses am 26. Oktober 2017 angenommen Ich habe den Gesetzgeber mehrfach aufgefordert, hier hat, kamen die Verhandlungen im Rat der EU seit Mitte endlich tätig zu werden. Die fortbestehende Rechtsun- Januar 2017 nicht entscheidend voran. Das ursprüng- sicherheit ist für Unternehmen und Aufsichtsbehörden lichen Ziel, die E-Privacy-Verordnung zeitglich mit der unerträglich. Im Juli 2020 hat die Bundesregierung DSGVO am 25. Mai 2018 in Kraft treten zu lassen, wurde erstmals einen Entwurf für eine Anpassung des Teleme- deshalb schon um mehr als zweieinhalb Jahre verfehlt. diengesetzes vorgelegt. Dieses soll zukünftig „Telekom- Die deutsche Ratspräsidentschaft wollte im zweiten munikations-Telemedien-Datenschutz-Gesetz“ (TTDSG) Halbjahr 2020 eine „allgemeine Ausrichtung“ des Rates heißen. Es ist erfreulich, dass der Gesetzgeber hier einen erreichen, damit die zur Verabschiedung notwendigen ersten Schritt unternommen hat. Leider hat der Entwurf Trilog-Verhandlungen mit dem Europäischen Parlament erhebliche Mängel. Ich habe hierzu Stellung genommen und der Europäischen Kommission endlich beginnen und Empfehlungen ausgesprochen. können. Jedoch zogen sich die Verhandlungen im Rat Telekommunikationsmodernisierungsgesetz auch unter deutscher Präsidentschaft weiter hin, so dass mit einer endgültigen Verabschiedung wohl frühestens Mit dem Telekommunikationsmodernisierungsgesetz im Jahr 2021 zu rechnen sein dürfte. (TKMoG) werden zahlreiche Vorgaben aus dem euro- päischen „Kodex elektronische Kommunikation“ in Ich konnte mich gegenüber dem Bundesministerium nationalen Vorschriften, insbesondere dem Telekommu- für Wirtschaft und Energie erfolgreich dafür einsetzen,

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 53 dass Vorschriften zur Vorratsdatenspeicherung sowie die Einhaltung der E-Privacy-Verordnung verpflichtend zur zweckfremden Weiterverarbeitung von Kommuni- den Datenschutzbehörden zu überlassen. So drohen kationsmetadaten ohne Einwilligung der Endnutzer im in einigen Mitgliedsstaaten eine Zersplitterung der Verordnungsentwurf wieder gestrichen wurden. Meine Aufsichtslandschaft und zusätzliche, unnötig komplexe Bedenken zur allgemeinen Absenkung des Datenschutz- Abstimmungsmechanismen zwischen den verschiede- niveaus blieben hingegen leider ungehört, ebenso nen Aufsichtsbehörden im Europäischen Datenschutz­ wurde meiner Forderung nicht entsprochen, gemäß ausschuss (EDSA). Dies wird die Durchsetzung von dem Kommissionsentwurf die Datenschutzaufsicht über Betroffenenrechten erschweren.

54 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 6 Sicherheitsbereich

6.1 Polizei 2020 Inhaltlich begrüße ich, dass der Bebauungsplan den Datenschutz als eines der wesentlichen Ziele benennt. Mit dem Projekt „Polizei 2020“ wollen die Polizeibe- Wie dieses Ziel erreicht werden soll, beschreibt der Plan hörden in Bund und Ländern die polizeiliche IT-Land- allerdings nicht näher. Notwendig ist es, zunächst die schaft neu gestalten. Das System wird in verschiedene rechtlichen Grenzen und Möglichkeiten zu definieren, „Domänen“ aufgeteilt, die die gesamte Bandbreite bevor das System als Ganzes und einzelne Teilsysteme in polizeilicher Arbeit abdecken. Sie betreffen sowohl die Entwicklung gegeben werden. Die Konzeption oder Einzelvorgänge als auch solche Informationen, die die Programmierung einzelner Module sollte nicht begin- Polizeibehörden für die Zukunft auf Vorrat speichern nen, bevor grundlegende datenschutzrechtliche Fragen und für Analysen und Datenabgleiche nutzen wollen. geklärt sind. Noch fehlen mir belastbare Unterlagen, auf deren Grundlage ich das System oder einzelne Teilsysteme Umfassende Bestandsaufnahme erforderlich beurteilen könnte. Dies setzt zunächst eine umfassende datenschutzrechtli- Die Projektgruppe Polizei 2020 beim Bundesministeri- che Bestandsaufnahme der bereits vorhandenen Daten, ums des Innern, für Bau und Heimat (BMI) stellte mir Systeme und Verfahrensweisen voraus. Der „fachliche im Dezember 2019 den Stand des Projekts mündlich vor. Bebauungsplan“ orientiert sich an polizeilichen Inter- Sie sagte mir zu, mich künftig zu beteiligen. Im Nach- essen. Er hat nicht die Ergebnisse aus den zahlreichen gang zu diesem Termin übersandte mir das BMI einen datenschutzrechtlichen Kontrollen und Beratungen der ersten „fachlichen Bebauungsplan“. letzten Jahre einbezogen. Ich schlage vor, dies zunächst in einer unabhängigen Evaluierung nachzuholen. Dieses Dokument stellt jedoch keine adäquate Grundlage dar, um eine belastbare datenschutzrechtliche Prüfung Rechtliche Leitplanken vornehmen zu können. Das Projekt ist in verschiedene Die bisher vorliegenden Unterlagen gehen nicht auf die Teilprojekte gegliedert, die offenbar überwiegend in den rechtlichen Rahmenbedingungen ein. Erwähnt wird Ländern entwickelt und dann später in den beim Bun- lediglich eine Neuerung: der Grundsatz der hypothe- deskriminalamt (BKA) geführten Informationsverbund tischen Datenneuerhebung. Dieser Grundsatz ist in überführt werden sollen. In verschiedenen Fällen habe der Tat wichtig. Er ist allerdings bei weitem nicht die ich erst von Dritten erfahren, dass wesentliche Teile in einzige zu beachtende rechtliche und verfassungsrecht- der Planung fortgeschritten sind, die direkt oder indirekt liche Vorgabe. Das Bundeskriminalamtgesetz und die das Projekt Polizei 2020 oder einen seiner Zwischen- Polizeigesetze der Länder geben zahlreiche rechtliche schritte betreffen. Leitplanken vor, die beim Konzept Polizei 2020 zu be- Deshalb habe ich nach Rücksprache mit den Landes- rücksichtigen sind. Die verantwortlichen Stellen müssen datenschutzbeauftragten zunächst mit einem grund- ausreichend prüfen und dokumentieren, ob und wie die- sätzlichen Schreiben dem BMI gegenüber Stellung se eingehalten sind – und zwar bevor sie ein System im genommen. Die Datenschutzkonferenz hat auf dieser Einzelnen planen und in Auftrag geben. Das ist bislang Grundlage eine entsprechende Entschließung gefasst.16 nicht erfüllt.

16 Sie finden die Entschließung vom 16. April 2020 unter:www.bfdi.bund.de/entschließungen

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 55 Zwecktrennung Teilprojekt Proof of Concept (PoC) Datenkonsolidie- rung: Im „Bebauungsplan“ ist zu lesen: „Im Kern gehen die Vorgangs- und Fallbearbeitung, Auswertung und Analyse Anfang 2019 war ich noch zu einem Teilprojekt von Poli- sowie die Asservatenverwaltung in eine einheitliche zei 2020 - der Erprobung des geplanten Datenhauses - in polizeiliche Sachbearbeitung über.“ Aufgrund dieser die AG Recht des Projekts eingeladen worden. Ich habe Aussage ist leider zu befürchten, dass künftig nicht mehr dem BMI erhebliche datenschutzrechtliche Einwände hinreichend zwischen den verschiedenen Zwecken dif- gegen das Projekt mitgeteilt. Seither wurde ich zu dieser ferenziert wird, sondern alle gespeicherten Daten unter AG nicht mehr eingeladen. Im Dezember 2019 sicherte den Oberbegriff „polizeiliche Sachbearbeitung“ gefasst mir das BMI mündlich eine zukünftige Beteiligung an werden. der AG Recht wieder zu. Eine Einladung oder sonstige Beteiligung habe ich entgegen dieser Zusage bis jetzt Wichtig ist aber: Verarbeiten die Sicherheitsbehör- nicht erhalten. den personenbezogene Daten, muss dafür immer ein konkreter Zweck festgelegt sein. Insbesondere dürfen Das wundert mich insofern, als in der Antwort der für eine konkrete Aufgabe oder zur Dokumentation Bundesregierung vom 6. August 2020 auf eine Kleine An- gespeicherte Daten nicht pauschal in einen Datenvorrat frage noch dargelegt wurde, BMI, BKA sowie Bund-Län- überführt werden, der gleichzeitig der Gefahren- bzw. der Gremien stünden mit mir in einem regelmäßigen der Strafverfolgungsvorsorge dient. Das ist aber der Austausch zur Planung des PoC Datenkonsolidierung. Fall, wenn alle Daten pauschal in einer Auswerte- und Meine Hinweise würden sorgfältig geprüft und in die Rechercheplattform genutzt werden. Wie dies in Zukunft weiteren Überlegungen zum PoC einbezogen werden konkret technisch abgegrenzt werden soll, ist mir nicht (BT-Drucksache 19/21510). bekannt, für die datenschutzrechtliche Bewertung aber Inzwischen teilte mir das Ministerium sowohl mit, es fundamental. sei nicht mehr für das Projekt zuständig, weil dies reine Auswertung und Analyse Ländersache sei, gleichzeitig aber auch, das Projekt werde gegebenenfalls später in Polizei 2020 integriert. Mit dem neuen „Datenhaus“ in Polizei 2020 schaffen Deshalb ist für mich nicht nachvollziehbar, ob und die Sicherheitsbehörden eine technische Grundlage für weshalb sich das Ministerium nunmehr aus der Verant- umfassende computergestützte Analysen personenbezo- wortung zieht. gener Daten. Diese greifen intensiv in Grundrechte ein und sind deshalb gesetzlich und technisch zu begrenzen. Teilprojekt PIAV-S Sie lediglich auf Generalklauseln zu stützen, wird dem PIAV-S steht für die strategische Nutzung der Daten im Grundrecht auf informationelle Selbstbestimmung nicht polizeilichen Informations- und Analyseverbund (PIAV). gerecht. PIAV soll den Informations-und Nachrichtenaustausch Bislang ist unklar, was genau geplant ist. Auf der einen zwischen den Polizeien des Bundes und der Länder Seite wurde in der mündlichen Darstellung des fachli- erweitern. Es soll dabei helfen, Schwerpunkte zu setzen chen Bebauungsplans betont, es sei nicht beabsichtigt und die polizeilichen und politischen Führungs- und „Künstliche Intelligenz“ einzusetzen. Auf der anderen Entscheidungsebenen zu beraten. Dafür soll es ausge- Seite sieht der Bebauungsplan eine offenbar recht weit- wählte Personen-, Fall- und Sachdaten aus den Vorgangs- reichende „Domäne 2“ für Auswertung und Analyse vor. oder Fallsystemen der Polizeibehörden bereitstellen und eine tagesaktuelle, orts- und personenbezogene Zählung Datenschutz-Basismodule von Straftaten ermöglichen. PIAV-S unterscheidet sich Darüber hinaus sollte bereits jetzt stärker auf die Chan- damit qualitativ von der Polizeilichen Kriminalstatistik cen für den Datenschutz eingegangen werden, zum (PKS), die Straftaten erst nach Abschluss der polizeili- Beispiel durch speziell für den Datenschutz entwickelte chen Ermittlung erfasst. Basismodule. Das BKA spricht von einer Anonymisierung der verar- Mit dem Programm Polizei 2020 besteht die Chance, beiteten Daten. Allerdings handelt es sich nach meiner neue technische Grundfunktionalitäten des Datenschut- ersten Einschätzung um pseudonymisierte, also perso- zes als „Basisdienste“ zu implementieren. Notwendig nenbezogene Daten. Zur Klärung dieses Punktes bin ich sind z. B. ein „Basisdienst Zwecktrennung“, ein „Basis- im Gespräch mit dem BKA. Handelt es sich nur um eine dienst Datenqualität“ und ein „Basisdienst Aufsicht und Pseudonymisierung, die nach wie vor die polizeiliche Kontrolle“, der insbesondere Protokollierungsdienste Nutzung der Einzeldaten ermöglicht, so sehe ich im enthält. Bundesrecht keine Rechtsgrundlage für die Datenüber- mittlung der Länder an das BKA sowie die Speicherung

56 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 in PIAV-S. Deshalb besteht in der Sache noch erheblicher Drittens wurde bislang noch kein umfassendes Lösch- Klärungsbedarf. konzept vorgelegt, das beschreibt, wie sich eine Da- tenlöschung, zum Beispiel aus der Fallbearbeitung vor Ort, auf das System auf Landesebene und Bundesebene 6.2 Einheitliches Fallbearbeitungs- oder umgekehrt auswirkt. Stattdessen wird nur be- system schrieben, wie ein Benutzer eine Löschung in seinem System durchführt. Ergänzend werden neue Worte Das einheitliche Fallbearbeitungssystem (eFBS) beim wie „anlöschen“ und „Löschvormerkung“ kreiert, statt BKA konsolidiert alle dezentralen Fallbearbeitungs- datenschutz­rechtliche Standardbegriffe wie Löschen systeme der Bundespolizei (BPOL), des BKA und der und Sperren zu verwenden. Polizeien der Länder. In einem ersten Schritt wurden Querverweise: die Systeme von BPOL, BKA und der Polizeien von Bran- denburg, Baden-Württemberg, Hessen und Hamburg 6.1 Polizei 2020, 9.5.3 Vorgangbearbeitssystem auf eine gemeinsame Basis gestellt. 2019 wurde mit einer Interimslösung zu eFBS beim BKA 6.3 Das Urteil des Bundesverfas- als zentralem IT-Dienstleister begonnen. Mit Aufnahme des Wirkbetriebs erhielt ich erstmals schriftliche Un- sungsgerichts zur strategischen terlagen, die über eine allgemeine Präsentation hinaus- Ausland-Ausland-Fernmeldeauf- gehen; erst kurz vor Redaktionsschluss des Tätigkeitbe- klärung richts erreichten mich weitere Unterlagen. Das Urteil des Bundesverfassungsgerichts (BVerfG) zur Die mandantenfähige Interimslösung beruht auf den Verfassungsmäßigkeit der Regelungen im Gesetz über individuellen Fallbearbeitungs­systemen von BKA, der den Bundesnachrichtendienst (BNDG) zur Ausland-Aus- Bundespolizei und den Teilnehmern der sogenann- land-Fernmeldeaufklärung wurde mit Spannung ten CRIME-Kooperation (Polizeien von Brandenburg, erwartet. Ich war im Gerichtsverfahren als Sachverstän- Baden-Württemberg, Hessen und Hamburg). Diese ver- diger geladen und habe aus meiner Kontrollerfahrung wenden Systemvarianten ein und desselben Herstellers. Einblicke in die Datenverarbeitungspraxis des Bundes- Die fertige Lösung, das eFBS, soll perspektivisch eine nachrichtendienstes (BND) geben können. Das Urteil, einheitliche Plattform für alle Teilnehmer werden. mit dem die Regelungen zur strategischen Ausland-Aus- Die mir zugesandten Unterlagen beschreiben jedoch land-Fernmeldeaufklärung im BNDG für verfassungs- nur die Anforderungen aus Benutzersicht, nicht aber widrig erklärt worden sind, enthält zugleich detaillierte das fertige System, so dass keine datenschutzrechtliche Vorgaben für eine verfassungskonforme Ausgestaltung Bewertung möglich ist. Insbesondere fehlt es an einer der strategischen Ausland-Fernmeldeaufklärung und Dokumentation, die exakt den Zweck und die Rechts- klärt den Rahmen für die gebotene unabhängige, objek- grundlagen des Systems beschreibt. Deshalb sehe ich tivrechtliche Kontrolle der Datenverarbeitungsprozesse derzeit folgende Probleme: im BND.

Erstens ist nicht dokumentiert, auf welcher rechtlichen Die Menschenrechtsorganisation Reporters sans fron- Grundlage und zu welchem Zweck eFBS betrieben wird. tières und weitere Beschwerdeführer hatten Verfas- Wenn eFBS nicht nur für die Zwecke des Strafverfahrens, sungsbeschwerde gegen die Neufassung des BNDG aus sondern auch zur Gefahrenvorsorge betrieben werden dem Jahr 2016 und ihnen hierdurch drohende Über- soll, hätte das auch weitere Auswirkungen zum Beispiel wachungsmaßnahmen im Rahmen der strategischen auf die Zugriffsberechtigung. Die datenschutzrechtli- Ausland-Ausland-Fernmeldeüberwachung des BND chen Verarbeitungszwecke sind vorliegend zu trennen erhoben. Die Beschwerdeführer machten unter ande- (siehe dazu Nr. 9.5.3 zum VBS). rem geltend, das Fernmeldegeheimnis des Art. 10 Abs. 1 GG und die Pressefreiheit nach Art. 5 Abs. 1 Satz 2 GG Zweitens fehlt immer noch eine Datenschutz-Folgenab- schütze auch im Ausland vor Zugriffen der deutschen schätzung. Weil das eFBS als mandantenfähiges System Staatsgewalt auf Inhalte und Metadaten elektronischer alle Daten in einem Datawarehouse vereinigt und die Kommunikation. Hintergrund war die Sorge der Be- dezentrale Datenhaltung in Bund und Ländern aufhebt, schwerdeführer, dass Daten aus besonders schützenwer- potenzieren sich die Risiken beim Datenschutz und der ter Kommunikation, z.B. bei journalistischer Recher- IT-Sicherheit. Immerhin wurde mir die Erstellung der chearbeit mit Informanten, vom BND entsprechend Datenschutz-Folgenabschätzung zugesagt. gängiger Praxis an andere Nachrichtendienste weltweit weitergegeben werden könnten.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 57 Neben der Frage der Bindung der deutschen Staatsge- Experten und Sachverständigen stellte. Als solcher hatte walt an die Grundrechte beim Handeln im Ausland ge- auch ich die Gelegenheit, Fragen des Gerichts zu beant- genüber Ausländern stand das Gericht vor der Aufgabe, worten und meine Eindrücke aus der Kontrollpraxis zu die verfassungsrechtlichen Grenzen aufzuzeigen, inner- vermitteln. halb derer die strategische Ausland-Fernmeldeaufklä- Ein weiterer Schwerpunkt im Verfahren betraf die Frage, rung als Instrument mit erheblicher Streubreite zulässig welche verfassungsrechtlichen Anforderungen an die und verhältnismäßig sein kann. Dabei hat das Gericht Kontrolle der Überwachungsmaßnahmen im Rahmen unterstrichen, dass eine globale und unbeschränkte Aus- der strategischen Ausland-Fernmeldeaufklärung zu landaufklärung verfassungsrechtlich unzulässig ist. Als stellen sind. Nach meiner Erfahrung wird die Möglich- besonders eingriffsintensives Aufklärungsinstrument keit einer lückenlosen Kontrolle sämtlicher Datenver- bedarf es laut BVerfG substantieller Beschränkungen auf arbeitungsprozesse im BND dadurch erschwert, dass hinreichend begrenzte und differenzierte Zwecke, die ein uneingeschränkter Austausch zwischen anderen der Gesetzgeber festzulegen hat. In Betracht kommen Kontrollorganen, wie der G 10-Kommission, und mir danach nur Zwecke, die auf den Schutz hochrangiger nach derzeitiger Rechtslage nicht möglich ist. Zudem Gemeinschaftsgüter gerichtet sind, deren Verletzung beruft sich der BND mir gegenüber auf die sogenannte schwere Schäden für den äußeren und inneren Frie- Third-Party-Rule und verwehrt die Kontrolle von Daten, den oder die Rechtsgüter Einzelner zur Folge hätte. die er von ausländischen Partnerdiensten erhalten hat Wesentlich ist dabei auch die Frage, ob der BND in der und die er nach Maßgabe informeller Übermittlungsab- Lage ist, die Grenzen einer solchen Erlaubnis technisch sprachen mit diesen Diensten nicht ohne deren Zustim- umzusetzen. Sich diese Kenntnis über die technischen mung an Dritte weitergeben darf. Erfreulicherweise hat Fähigkeiten des BND zu verschaffen, war daher eine der das BVerfG allerdings unmissverständlich klargestellt, Herausforderungen des Verfahrens, der sich das BVerfG dass der Gesetzgeber die künftige Kontrolle über den durch Befragung des BND selbst und von unabhängigen

Die Kernaussagen des Urteils (Urteil des Ersten Senats vom 19. Mai 2020 - 1 BvR 2835/17) können wie folgt zusammengefasst werden:

• Die Schutzbereiche des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG und der Pressefreiheit nach Art. 5 Abs. 1 Satz 2 GG erstrecken sich auch auf Maßnahmen deutscher Behörden gegen Ausländer im Aus- land, also auch auf Maßnahmen der strategischen Ausland-Fernmeldeaufklärung des BND.

• Die strategische Ausland-Fernmeldeaufklärung ist eine Ausnahmebefugnis mit erheblicher Streubreite und Eingriffsintensität, die unter Beachtung der vom BVerfG aufgezeigten Kriterien zur Begrenzung der Datenerhebung und -verarbeitung verhältnismäßig und verfassungskonform ausgestaltet werden kann. Nach Darstellung des Gerichts gehören hierzu insbesondere einhergehende Regelungen zum Einsatz von Filtertechniken, zu den zulässigen Überwachungszwecken, zur Gestaltung des Überwachungsver- fahrens, zu einem fokussierten Umgang mit Suchbegriffen, zu Grenzen der bevorratenden Verkehrsda- tenspeicherung, zu Methoden der Datenauswertung, zum Schutz von Vertraulichkeitsbeziehungen und des Kernbereichs privater Lebensgestaltung sowie die Vorgabe von Löschpflichten, und zu den Anforde- rungen an eine unabhängige objektivrechtliche Kontrolle.

• Werden Daten aus der strategischen Ausland-Fernmeldeaufklärung durch den BND weiterverarbeitet, dürfen Daten, die den Kernbereich privater Lebensgestaltung betreffen, gar nicht und Daten besonders schutzbedürftiger Personen (z.B. Whistleblowern, Dissidenten) oder aus besonders schützenswerten Kommunikationsbeziehungen (z.B. zwischen Anwalt und Mandant, Journalist und Informant) nur in gesetzlich normierten Ausnahmefällen verarbeitet werden.

• Für die verfassungskonforme Durchführung sämtlicher Datenerhebungen und -verarbeitungen im Rah- men der strategischen Ausland-Fernmeldeaufklärung ist auch eine den verfassungsrechtlichen Grenzen entsprechende Ausgestaltung und Nutzung der Datenverarbeitungssysteme und der weiteren Datenver- arbeitungsprozesse erforderlich.

58 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 • Die Übermittlung der Daten aus der strategischen Ausland-Fernmeldeaufklärung an andere Behörden im Inland und im Ausland ist an strenge Vorgaben geknüpft. Es müssen in der Regel konkretisierte Gefahrensituationen für konkrete, höherrangige Rechtsgüter tatsachenbasiert erkennbar sein, andern- falls ist eine Weitergabe unzulässig. Die Zwecke, die eine Übermittlung erlauben, sind zu normieren, die Durchführung einer Übermittlung ist der unabhängigen Kontrolle zugänglich zu machen.

• Bei der Übermittlung von Daten an ausländische Nachrichtendienste sind ergänzende Bedingungen zu erfüllen. Nach den Vorgaben des BVerfG ist eine Übermittlung der Daten ins Ausland nur dann erlaubt, wenn durch den dortigen Umgang mit den übermittelten Daten nicht die Garantien des menschenrecht- lichen Schutzes personenbezogener Daten unterlaufen werden. Erforderlich ist die Gewährleistung ei- nes angemessenen materiellen datenschutzrechtlichen Niveaus für den Umgang mit den übermittelten Daten im Empfängerstaat. Der BND muss diese Rechtsstaatlichkeitsvergewisserung als eigenständige Voraussetzung vor einer Datenübermittlung ins Ausland durchführen.

• Eine Berufung auf die „Third-Party-Rule“ darf die Kontrolle von Datenverarbeitungen des BND mit Bezug zu ausländischen Nachrichtendiensten nicht beschränken. Der Gesetzgeber muss eine unabhängige, kontinuierliche Rechtskontrolle der strategischen Ausland-Fernmeldeaufklärung schaffen, die als gerichtsähnliche Kontrolle den rechtmäßigen Einsatz der strategischen Ausland-Fernmeldeaufklärung und als administrative Kontrolle die Praxis der Datenverarbeitungen kontrolliert.

BND organisatorisch so auszugestalten hat, dass sie Wie bereits im Tätigkeitsbericht 2019 erörtert (vgl. 28. nicht durch die „Third Party Rule“ behindert wird. TB Nr. 6.5), gibt es für die Einbeziehung des Bundesamts für Verfassungsschutz (BfV) bei der Vergabe staatlicher Das BVerfG hat angeordnet, dass die beanstandeten Leistungen zur Verhinderung der missbräuchlichen In- Vorschriften trotz ihrer Verfassungswidrigkeit vorläufig, anspruchnahme durch verfassungsfeindliche Organisati- längstens aber bis zum 31. Dezember 2021, fortgelten. onen (sog. Haber-Verfahren) keine gesetzliche Grundla- Der Gesetzgeber ist daher aufgefordert, die Vorschriften ge. Das Fehlen einer gesetzlichen Ermächtigung für die mit Bezug zur strategischen Ausland-Fernmeldeaufklä- vom BfV in diesem Zusammenhang vorgenommenen rung im BNDG neu zu fassen. Das Bundeskabinett hat Datenverarbeitungen habe ich daran anschließend im am 16. Dezember 2020 einen entsprechenden Entwurf gegenständlichen Berichtszeitraum gemäß § 16 Abs. 2 des Bundeskanzleramtes für eine BNDG-Novelle gebil- Bundesdatenschutzgesetz, § 27 Nr. 1 Bundesverfassungs- ligt (vgl. hierzu 5.4). Auch wenn ich es grundsätzlich schutzgesetz formal beanstandet. begrüße, dass die Bundesregierung mit der Novelle den Versuch unternimmt, die Vorgaben des BVerfG für die Die Weigerung des BMI, Schritte zur Beseitigung des strategische Ausland-Fernmeldeaufklärung verfassungs- gesetzgeberischen Defizits zu unternehmen, ist nicht konform umzusetzen, habe ich in Teilbereichen des Ge- hinnehmbar. Ein Ministerium als Organ der Exekuti- setzentwurfs erhebliche Zweifel, ob ihr dies gelungen ist. ve kann nicht eigenmächtig und in Eigenregie neue Datenverarbeitungsbefugnisse für eine seiner Ressort- Querverweis: behörden im Wege von Erlassvorschriften zu Lasten 5.4 Novellierung des Gesetzes über den Bundesnachrich- von Grundrechtsträgern schaffen, so wie es das BMI tendienst vorliegend mit dem Haber-Diwell-Erlass getan hat. Dies ist ausschließlich die Aufgabe des hierzu legitimierten Gesetzgebers. 6.4 Das Haber-Verfahren Auch die bundesverfassungsgerichtliche Rechtspre- Das Bundesministerium des Inneren, für Bau und chung aus dem vergangenen Jahr lässt daran keine Heimat (BMI) weigert sich nach wie vor anzuerkennen, Zweifel und zwingt den Gesetzgeber gerade im nachrich- dass für die beim so genannten Haber-Verfahren erfol- tendienstlichen Bereich zu umfangreichen Reformen. In gende Datenverarbeitung eine gesonderte Rechtsgrund- seinem Urteil zur strategischen Ausland-Ausland-Fern- lage benötigt wird. meldeaufklärung (vgl. auch 6.3) hat das Bundesverfas-

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 59 sungsgericht klargestellt, dass die Geheimhaltungs- geltenden Einschränkungen schriftlich oder mündlich bedürftigkeit nachrichtendienstlicher Tätigkeit kein hingewiesen werden. Die Rückmeldungen haben aufge- Weniger bei Anzahl, Umfang und Qualität gesetzlicher zeigt, dass dies nicht immer der Fall ist. Ermächtigungen rechtfertigt. Um mehr Transparenz für Bewerberinnen und Bewerber Querverweis: zu schaffen, habe ich den Nachrichtendiensten emp- fohlen, im Vorfeld der Durchführung der Sicherheits- 6.3 Das Urteil des Bundesverfassungsgerichts zur strate- überprüfung schriftlich über die Ausnahmeregelungen gischen Ausland-Ausland-Fernmeldeaufklärung im SÜG zu informieren. Erfreulicherweise haben alle Nachrichtendienste meine Empfehlung aufgenommen 6.5 Sicherheitsüberprüfung von und umgesetzt Bewerberinnen und Bewerbern der Nachrichtendienste 6.6 Passenger Name Records - Wie viel Datensammlung ist zur Terroris- Bewerberinnen und Bewerber von Nachrichtendiens- ten werden nicht über das Ergebnis ihrer Sicherheits- musbekämpfung gerechtfertigt? überprüfung informiert und haben auch vorab kein Während der EuGH in mehreren Verfahren die Ver- Anhörungsrecht, wenn sich bei den Sicherheitsermitt- einbarkeit der Verwendung von Fluggastdaten zur lungen ein potentielles Sicherheitsrisiko ergibt. Über Bekämpfung von Terrorismus und anderen schweren diese Rechtslage werden sie aber künftig im Vorfeld Straftaten mit den europäischen Grundrechten über- informiert. prüft, hat die Kommission im Sommer eine positive Im Bereich des Sicherheitsüberprüfungsrechts errei- Bilanz gezogen. Der Umfang der zugelassenen Daten- chen mich vermehrt Eingaben von Bewerberinnen und verarbeitung lässt jedoch weiter an der Verhältnismä- Bewerbern der Nachrichtendienste des Bundes. Insbe- ßigkeit zweifeln. sondere tragen die Betroffenen vor, dass ihnen im Rah- Seit vielen Jahren kritisiere ich in meinen Tätigkeitsbe- men einer Einstellungsabsage nicht mitgeteilt wird, ob richten den Umfang der Verarbeitung von Fluggastdaten diese im Zusammenhang mit der durchgeführten Sicher- durch Polizeibehörden (vgl. 22. TB Nr. 13.5.4; 26. TB heitsüberprüfung steht und bitten mich diesbezüglich Nr. 2.3.2; 27. TB Nr. 1.3; 28. TB Nr. 6.4). Die Richtlinie um Hilfestellung. Im Rahmen meiner datenschutzrecht- (EU) 2016/681 vom 27. April 2016 über die Verwendung lichen Prüfkompetenzen im Sicherheitsüberprüfungsge- von Fluggastdatensätzen zur Verhütung, Aufdeckung, setz (SÜG) gehe ich diesen Sachverhalten nach. Ermittlung und Verfolgung von terroristischen Strafta- Auch wenn es sich dabei nicht um primär datenschutz- ten und schwerer Kriminalität (PNR-RL) verpflichtet die rechtliche Vorschriften handelt, möchte ich klarstellen, Mitgliedstaaten, anlasslos Fluggastdaten von Luftfahrt- dass nach § 6 Abs. 1 Satz 4 SÜG das Anhörungsrecht für unternehmen zu erheben, abzugleichen und über fünf Bewerberinnen und Bewerber der Nachrichtendienste Jahre zu speichern, um auch eine rückwirkende Auswer- des Bundes im Rahmen der Durchführung der Sicher- tung zu ermöglichen. Dies gilt für alle Fluggäste, auch heitsüberprüfung entfällt und diese gemäß § 14 Abs. 4 wenn diese für eine mehrjährige Speicherung in einer Satz 2 SÜG auch nicht über das Ergebnis der Sicherheits- polizeilichen Datenbank keinerlei Anlass bieten. überprüfung informiert werden müssen. Diese Son- Die EU-Kommission hat in diesem Jahr eine Evaluierung dervorschriften für Nachrichtendienste sieht das SÜG zur Umsetzung der PNR-RL durchgeführt (vgl. Evaluie- ausdrücklich vor. rungsbericht vom 24. Juli 2020, COM(2020) 305 final). Aus Hintergrund hierfür ist, dass Ausforschungspraktiken ihrer Sicht fällt das Ergebnis insgesamt positiv aus. Die ausländischer Nachrichtendienste hinsichtlich des Richtlinie erfüllt ihren Zweck und derzeit sollen keine Erkenntnisstandes und der Einstellungspraxis bei den Änderungen vorgenommen werden. Zunächst soll die deutschen Nachrichtendiensten unterbunden werden Entscheidung des EuGH zur Vereinbarkeit der PNR-RL sollen. Es kommt immer wieder vor, dass ausländische mit den europäischen Grundrechten abgewartet werden. Nachrichtendienste etwaige Bewerberinnen und Bewer- Dort sind Vorabentscheidungsersuchen von Gerichten ber in Einstellungsverfahren einschleusen. aus verschiedenen Mitgliedstaaten anhängig. Auch in Deutschland laufen Klagen gegen Luftfahrtunternehmen Die Eingaben haben mich dennoch veranlasst, bei und die Fluggastdatenzentralstelle beim BKA, die sich den jeweiligen Nachrichtendiensten in Erfahrung zu insbesondere gegen die Langzeitspeicherung der Passa- bringen, ob Bewerberinnen und Bewerber im Vorfeld gierdaten richten. der Durchführung der Sicherheitsüberprüfung auf die

60 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Nach den statistischen Daten, die die Kommission bei Effizienz der Nutzung von PNR-Daten belegen soll (vgl. den Mitgliedstaaten erhoben hat, erzielt der automati- Begleitdokument zum Evaluierungsbericht vom 24. Juli sierte Sofortabgleich der übermittelten Passagierdaten 2020, SWD(2020) 128 final). Selbst wenn diese Fälle nur mit Fahndungsdatenbanken oder Mustern technische eine Auswahl darstellen, drängt sich die Frage auf, ob Treffer bei 0,59 % der Fluggäste. Nach einer manuellen die gewählte Form der Massendatenverarbeitung und Überprüfung verbleiben 0,11 % bestätigte Treffer, die an Datenvorratshaltung noch verhältnismäßig ist, um die die zuständigen Behörden zwecks näherer Überprüfung unbestritten legitimen Ziele der Bekämpfung terroris- übermittelt werden. Nach Auffassung der Kommission tischer und sonstiger schwerer Straftaten zu erreichen. zeigt der kleine Prozentsatz, dass das System gezielte Dies gilt umso mehr im Licht der jüngsten Rechtspre- Treffer generiert und unbescholtene Reisende hier chung des EuGH im Verfahren “La Quadrature de Net”, nichts zu befürchten haben. Übertragen in absolute Zah- wonach Gesetze, die eine Datenspeicherung erlauben, len, lässt sich diese Schlussfolgerung jedoch anzweifeln. immer objektive Kriterien aufstellen müssen, die einen Zusammenhang zwischen den gespeicherten Daten und So überquerten im Jahr 2018 nach Angaben von Eurostat dem Zweck der Speicherung herstellen. rund 924 Millionen Fluggäste die Außen- oder Binnen- grenzen der EU. Bei einer technischen Trefferquote von Datenschutzbehörden fordern Nachbesserung 0,59 % wären mehr als 5,4 Millionen Menschen einer Vor diesem Hintergrund habe ich zusammen mit den manuellen Nachkontrolle zu unterziehen. Bei einer anderen europäischen Datenschutzaufsichtsbehörden Quote von 0,11 % an bestätigten Treffern wären mehr im EDSA die EU-Kommission erneut aufgefordert, Nach- als eine Million Menschen an die zuständigen Behör- besserungen an der Rechtslage vorzunehmen. den zum Zwecke der Einleitung von Folgemaßnahmen zu melden. Auch wenn die Zahlen derzeit in der Praxis An der Diskrepanz zwischen technischen Treffern und wohl niedriger liegen, da noch nicht in allen Staaten der manuell bestätigten Treffern zeigt sich außerdem ein Vollausbau der Fluggastdatenbanken erreicht ist, wären grundsätzliches Problem der Datenqualität. Die von den diese Millionen von Kontrollen in der Zukunft rechtlich Luftfahrtunternehmen für ihre Zwecke erhobenen Da- abgedeckt. ten sind oftmals für einen polizeilichen Datenabgleich nicht geeignet, weil wichtige Daten wie Geburtsdatum Demgegenüber präsentiert die Kommission nur eine und Geburtsort fehlen und der Fahndungsabgleich so kleine Zahl von Fallstudien, die die Wirksamkeit und ins Leere läuft.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 61 In diesem Zusammenhang wird immer wieder auf den Die Gesetzesformulierung wirft die Frage auf, ob diese positiven Effekt des Zusammenwirkens mit den soge- Vorschrift neben dem Fachrecht als eigenständige nannten API-Daten verwiesen. Hierbei handelt es sich Rechtsgrundlage gelten soll. Das kommt aber schon um eine weitere Form der Übermittlung von Passagier- deshalb nicht in Betracht, weil sie nicht hinreichend daten. Rechtsgrundlage ist die Richtlinie 2004/82/EG vom bestimmt und normenklar formuliert ist. Der Gesetz- 29. April 2004 über die Verpflichtung von Beförderungs- geber sollte klarstellen, dass § 48 BDSG nur zusätzliche unternehmen, Angaben über die beförderten Personen Anforderungen aufstellen will, die neben die – noch zu übermitteln (API-RL). Die Mitgliedstaaten können zu detailliert zu regelnden – spezifischen Anforderungen vorab bestimmten Flügen aus Drittstaaten die Übermitt- des Fachrechts treten. lung bestimmter Passagierdaten an ihre Grenzkontroll- In der Praxis wird es auch dort schwierig, wo im Fach- behörden verlangen. Im Unterschied zu den PNR-Daten recht noch alte Regelungen bestehen, die nicht oder müssen die Luftfahrtunternehmen die API-Daten für nicht vollständig zu den Anforderungen der Richtlinie diesen Zweck gesondert aus offiziellen Ausweisdoku- passen. Ein Beispiel hierfür sind die Vorgaben der menten erheben. Deshalb sind diese Daten qualitativ JI-Richtlinie bzw. des BDSG für Datenübermittlungen in hochwertiger und der Datenkranz ist besser auf poli- Drittstaaten. Hiernach müssen sich die verantwortlichen zeiliche Zwecke abgestimmt. Werden sie erhoben, sind Stellen vergewissern, dass im Empfängerstaat ein ange- sie nach der PNR-RL auch an die Fluggastdatenzentral- messenes Datenschutzniveau vorhanden ist. stellen zu übermitteln und führen dort indirekt zu einer besseren Datenqualität. Dieser positive Effekt sollte aber Nach dem (bislang nicht novellierten) Bundespolizeige- nicht darüber hinwegtäuschen, dass das Zusammenspiel setz (BPolG) ist das Datenschutzniveau im Empfänger- von API-RL und PNR-RL für die betroffenen Personen staat erst im Rahmen einer Interessenabwägung zwi- eine doppelte Überwachung darstellt und zusätzliche schen dem öffentlichen Interesse an der Übermittlung Fragen der Verhältnismäßigkeit aufwirft. Dieser Aspekt und dem schutzwürdigen Interesse der betroffenen Per- sollte in der anstehenden Evaluierung der API-RL drin- son zu berücksichtigen. Dies mag auf den ersten Blick gend berücksichtigt werden. für die Praxis unerheblich erscheinen. Die Vorgaben der Richtlinie räumen der Existenz eines angemessenen Datenschutzniveaus jedoch grundsätzlich ein höheres 6.7 JI-Richtlinie nach wie vor nicht Gewicht ein, wenn eine Abweichung nur in Ausnahme- vollständig umgesetzt fällen zulässig sein soll. Dies kann im Einzelfall durch- aus zu einem anderen Ergebnis führen. Die Umsetzung europarechtlicher Vorgaben im Bundes- Vor diesem Hintergrund sehe ich daher die Tatsache polizeigesetz und im Zollfahndungsdienstgesetz schei- kritisch, dass die Umsetzung der Richtlinie sowohl im tert nach wie vor am politischen Ringen um zusätzliche BPolG als auch im Zollfahndungsdienstgesetz (ZFdG) Eingriffsbefugnisse. Erste Anwendungshilfen für die immer noch nicht vollzogen ist. Praxis habe ich bereits entwickelt. Zur Anpassung des BPolG gab es Anfang 2020 bereits Für die Verarbeitung personenbezogener Daten bei einen Referentenentwurf, über den jedoch wegen unter- Polizei und Justiz müssen seit dem 6. Mai 2018 einheit- schiedlicher Auffassungen der Koalitionspartner über liche Mindeststandards in allen Mitgliedstaaten der EU die Notwendigkeit neuer Eingriffsbefugnisse noch keine umgesetzt sein. Hierüber hatte ich bereits in meinem Einigung erzielt werden konnte. Dieser Entwurf wurde vorletzten Tätigkeitsbericht informiert (vgl. 27. TB Nr. dann nicht weiter verfolgt. Zum Redaktionsschluss war 1.2). Sind bestimmte Vorgaben in den polizeilichen Fach- bekannt, dass die Fraktionen der Regierungskoalition an gesetzen noch nicht umgesetzt, so gelten die Regelungen einem Entwurf für das BPolG arbeiten, der dann von den im ersten und dritten Teil des Bundesdatenschutzge- Fraktionen ins Parlament eingebracht werden soll. setzes (BDSG) ergänzend. Einige Vorschriften des BDSG müssen jedoch durch das Fachrecht zwingend spezifisch Einen Gesetzentwurf zur Novellierung des ZFdG hatte und normenklar ergänzt werden. der Deutsche Bundestag sogar bereits beschlossen (vgl. 28. TB Nr. 5.3.1), allerdings kam es nicht mehr zur Dies gilt beispielsweise für § 48 BDSG, wonach die Ver- Zeichnung und Verkündung des Gesetzes. Hintergrund arbeitung besonderer Kategorien personenbezogener ist offenbar die Entscheidung des Bundesverfassungs- Daten nur zulässig ist, wenn sie zur Aufgabenerfüllung gerichts zur Ausgestaltung der sogenannten Bestands- unbedingt erforderlich ist und zusätzlich geeignete datenauskunft (vgl. Nr. 7.4). Danach müssen die poli- Garantien für die Rechtsgüter der betroffenen Perso- zeilichen Fachgesetze klare Regelungen treffen, welche nen vorgesehen sind. Dies betrifft z.B. genetische oder Behörde bei welchen Anlässen welche Daten abfragen biometrische Daten. darf und wie die Daten dann genutzt werden dürfen. Das

62 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 bereits vor der Entscheidung des BVerfG vom Deutschen Sammlung und Auswertung von Meldungen über ver- Bundestag beschlossene neue ZFdG enthielt jedoch eine dächtige Finanztransaktionen, die im Zusammenhang Regelung, die diesen Anforderungen, die ich bereits mit Geldwäsche oder Terrorismusfinanzierung stehen vorher im Gesetzgebungsverfahren vertreten habe, nicht können. Stellt sie bei ihrer Analyse fest, dass ein Vermö- genügt. (vgl. 27. TB Nr. 9.1.4). gensgegenstand mit Geldwäsche, Terrorismusfinanzie- rung oder mit einer sonstigen Straftat in Zusammenhang steht, so übermittelt sie ihr Analyseergebnis sowie alle sachdienlichen Informationen an die zuständigen Straf- Während der Gesetzgeber mit der Umsetzung der verfolgungsbehörden. JI-Richtlinie weiter in der Pflicht bleibt, habe ich erste Erfahrungen mit der praktischen Anwendung Bis Ende 2023 plant die FIU die Neugestaltung ihrer der neuen Regelungen des BDSG ausgewertet, um IT-Landschaft in Form des sogenannten Informations- Anwendungshilfen zu einzelnen Vorschriften des BDSG verbundes FIU 2.0. Für die datenschutzrechtliche Bewer- zu entwickeln. Hiermit möchte ich Justiz-, Polizei- und tung und Begleitung des Projektes habe ich meine Betei- Ordnungswidrigkeiten-Behörden bei ihrer praktischen ligung eingefordert und mir das seitens der FIU erstellte Arbeit mit den Datenschutzvorgaben unterstützen. Lastenheft vorlegen lassen. Auf diese Weise konnte ich mir bereits in einem sehr frühen Entwicklungsstadium Zu folgenden Vorschriften finden Sie Materialien auf des IT-Projektes einen ersten Eindruck verschaffen und meiner Website: die technischen und fachlichen Anforderungen an das • § 53 BDSG: Datengeheimnis (Muster) System mit Blick auf die Einhaltung datenschutzrechtli- cher Vorschriften überprüfen. • § 67 BDSG: Datenschutzfolgenabschätzung (Mus- Leider musste ich zahlreiche datenschutzrechtliche ter mit Hinweisen, Methodenvorschlag) Mängel feststellen, auf die ich die FIU hingewiesen habe. • § 70 BDSG: Verzeichnis von Verarbeitungstätigkei- ten (Muster mit Hinweisen) Fehlende Rechtsgrundlagen

Für einige der geplanten Datenverarbeitungen der FIU, • (demnächst:) § 76 BDSG: Protokollierung wie beispielsweise der systematischen Erhebung und (Hinweise). Auswertung personenbezogener Daten aus öffentlichen Quellen, dürfte es bereits an einer entsprechenden Rechtsgrundlagen fehlen. Teilweise konnte ich auch Querverweis: darauf aufmerksam machen, dass die Planungen nicht mehr vom gesetzlichen Auftrag der FIU umfasst sein 7.4 Urteil Bestandsdatenauskunft dürften.

Löschkonzepte sowie technische Verfahrenssicherungen 6.8 Neugestaltung des Informati- zur Einhaltung von ereignisunabhängigen Aussonde- onsverbundes FIU 2.0 rungsprüffristen waren ursprünglich gar nicht vorgese- hen. Die Zentralstelle für Finanztransaktionsuntersuchun- Einsatz von Methoden der Künstlichen Intelligenz (KI) gen, auch Financial Intelligence Unit (FIU) genannt, plant die Neugestaltung ihrer IT-Landschaft. Zur Be- Aus datenschutzrechtlicher Sicht besonders hervor- wältigung der stetig wachsenden Anzahl eingehender zuheben ist der geplante Einsatz von KI-Methoden zur Verdachtsmeldungen sollen dabei künftig auch Metho- Bearbeitung der stetig ansteigenden Zahl eingehender den bzw. Algorithmen aus dem Bereich der Künstli- Geldwäscheverdachtsmeldungen. chen Intelligenz (KI) eingesetzt werden. Aufgrund der Um aus der großen Anzahl vorliegender Meldungen die erheblichen damit verbundenen Risiken für die Rechte werthaltigen Fälle zu filtern, sollen zukünftig automati- und Freiheiten natürlicher Personen habe ich meine sierte Anwendungen und selbstlernende Systeme zum Beteiligung eingefordert. So konnte ich frühzeitig Einsatz kommen. Sie sollen zunächst die Priorisierung beratend tätig werden und auf datenschutzrechtliche von Bearbeitungsvorschlägen und Netzwerkdarstellun- Mängel hinweisen. gen vornehmen. Die FIU ist eine eigenständige Organisationseinheit Perspektivisch ist geplant, die manuelle Analyse unter dem Dach der Generalzolldirektion beim Zoll- sämtlicher gemeldeter Sachverhalte durch eine auto- kriminalamt. Sie ist zuständig für die Entgegennahme, matisierte Bewertung zu ersetzen. Die Systeme sollen

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 63 vorab entscheiden, welche Meldungen einer Einzelfall- 6.9 Datenschutzverstoß im Bereich betrachtung durch die menschlichen Analysten der FIU der Zollfahndung bedürfen. Bei der Zollfahndung konnten durch die Meldung eines Die übrigen Meldungen sollen automatisiert dem sog. Datenschutzverstoßes Verbesserungen im Umgang mit „Informationspool“ zugeführt werden. Das bedeutet, sichergestellten Datenträgern erreicht werden. dass die Meldungen in die zentrale Datenbank der FIU überführt und dort kontinuierlich automatisiert neu Die Zollfahndung meldete mir einen Verlust von Asser- bewertet werden. Nur wenn sich, z.B. aufgrund einer vaten als Datenschutzverletzung. Es handelte sich um neuen Datenlage, zu einem späteren Zeitpunkt eine Datenträger, die in einem Strafverfahren sichergestellt abweichende Bewertung ergibt, soll eine manuelle Bear- wurden. Meine Einbindung war geboten, da derartige beitung erfolgen. Gegen diese Vorgehensweise habe ich Datenspeicher oft eine Vielzahl sensibler personenbezo- bereits Bedenken geäußert. gener Daten enthalten können. So können sich z.B. im Speicher eines Smartphones schnell Fotos, Chatverläufe, Datenschutzrechtliche Anforderungen Passwörter und viele weitere Informationen ansam- § 54 Abs. 1 BDSG statuiert für eine ausschließlich auf meln. Im Rahmen meiner Prüfung habe ich festgestellt, einer automatischen Verarbeitung beruhende Entschei- dass die betroffenen Asservate nicht ausreichend gegen dung, die mit einer nachteiligen Rechtsfolge für die unbefugte Kenntnisnahme ihres Inhaltes gesichert betroffene Person verbunden ist, das Erfordernis einer waren. spezifischen Rechtsgrundlage. Eine solche hinreichend Durch die Aufarbeitung des Sachverhaltes konnte eine bestimmte und normenklare Rechtsgrundlage ist bisher erhebliche Verbesserung beim künftigen Umgang mit im für die FIU maßgeblichen Geldwäschegesetz nicht sichergestellten Datenträgern erreicht werden. Insbe- ersichtlich. sondere wurden die organisatorischen Vorgaben der Der Einsatz automatisierter Systeme kann neben dem Zollfahndung zum Umgang mit dieser Art von Asser- intensiven Dateneingriff hohe Risiken für die weiteren vaten überarbeitet. Die neuen Maßnahmen umfassen Rechte und Freiheiten natürlicher Personen zur Folge insbesondere einen gesicherten Transportweg, eine haben. Dies gilt insbesondere dann, wenn die Anwen- Verschlüsselung nach den Vorgaben des Bundesam- dungen automatisierte Entscheidungen treffen oder tes für Sicherheit in der Informationstechnik und die zumindest vorbereiten sollen. Denn komplexe Systeme Versendung von Datenträgern und Zugangsdaten auf sind selbst für Fachleute kaum nachvollziehbar. getrennten Wegen. Sie sollen künftig in regelmäßigen Abständen evaluiert und den technischen Entwicklun- Bei der FIU kommt erschwerend hinzu, dass es sich um gen angepasst werden. eine besonders eingriffsintensive Datenverarbeitung handelt. Zum einen ist die FIU keine Strafverfolgungsbe- hörde. Ihre Tätigkeit hat einen reinen Vorfeldcharakter. 6.10 Beschäftigtendatenschutz in Daher liegt der Verdachtsgrad einer Geldwäschever- dachtsmeldung noch unterhalb des strafprozessualen der Zollverwaltung Anfangsverdachtes. Zum anderen führt sie die beschrie- Im Rahmen der Bearbeitung zahlreicher Eingaben benen Grundrechtseingriffe heimlich durch, sodass im Bereich des Beschäftigtendatenschutzes ließ die die Betroffenen in der Regel keinerlei Kenntnis von der Zollverwaltung Kooperationsbereitschaft und Problem- Verarbeitung ihrer personenbezogenen Daten haben. bewusstsein vielfach vermissen. Meine Aufgabenerfül- Aufgrund dieser besonderen Eingriffsintensität in lung wurde mir hierdurch im Berichtszeitraum erheb- Grundrechte sollten KI-Anwendungen daher allenfalls lich erschwert. restriktiv genutzt werden. Zumindest aber müssen Auch im Jahr 2020 erreichte mich eine Vielzahl von KI-Anwendungen hier einer besonderen Vorabprüfung Eingaben von Beschäftigten der Zollverwaltung. Im und laufenden Kontrolle gemäß der Empfehlungen der Rahmen der Bearbeitung stießen meine Mitarbeiterin- Datenethik-Kommission unterliegen. nen und Mitarbeiter wiederholt auf Widerstände seitens der Zollverwaltung. Bereits in der Vergangenheit hatte die Generalzolldirektion schriftlich darauf hingewie- sen, dass Rückfragen zu Stellungnahmen durch meine Mitarbeiterinnen und Mitarbeiter unerwünscht seien. Dokumente zur Sachverhaltsermittlung wurden mir ent- gegen Art. 58 Absatz 1 lit. a) DSGVO nicht wie gefordert zur Verfügung gestellt. In einem noch laufenden verwal-

64 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 tungsgerichtlichen Verfahren zweifelt die Zollverwaltung von Disziplinarvorgängen von Hand zu Hand, über den meinen Anspruch auf Bereitstellung von Informationen Botendienst oder über zugangsbeschränkte Posträume zur Erfüllung meiner Aufgaben gem. Art. 58 Absatz 1 lit. und/oder Postfächer angewiesen. Diese Weisung begrü- a) DSGVO i.V.m. § 16 Absatz 4 BDSG an. ße ich ausdrücklich und danke dem Bundesministerium der Finanzen für die Unterstützung meiner Arbeit und Einleitung eines Disziplinarverfahrens als Reaktion der Stärkung des Datenschutzes innerhalb der General- auf meine Einbindung zolldirektion. In einem Fall wurde gegen einen Mitarbeiter aus der Unzulässiger Betrieb einer Zutrittskontroll- und Zollverwaltung ein Disziplinarverfahren eingeleitet, Alarmanlage weil er sich an mich gewandt hat. Der Mitarbeiter hatte mich mit eindeutigen Hinweisen über einen unzuläs- In einem Zollfahndungsamt wurde seit Jahren eine elek- sigen Austausch dienstlicher Informationen über den tronische Zutrittskontroll- und Alarmanlage betrieben, Messengerdienst WhatsApp informiert. Die daraufhin ohne dass die hierfür erforderlichen datenschutzrecht- von der Zollverwaltung von mir verlangte Herausgabe lichen Voraussetzungen erfüllt waren. Erst im Laufe des des Vorgangs zwecks Verwendung für disziplinarische Jahres 2019 wurde das vorgesehene Rollen- und Lösch- Ermittlungen habe ich unter Hinweis auf mein Zeugnis- konzept implementiert und mit der für den Betrieb verweigerungsrecht gemäß § 13 Absatz 3 BDSG verwei- und die Wartung der Anlage beauftragten Firma eine gert. Dem Mitarbeiter wurde im Disziplinarverfahren Vereinbarung zur Auftragsverarbeitung abgeschlossen. vorgeworfen, den Dienstweg umgangen und einen Auch die Löschung der erfassten Zutrittsprotokolldaten Ansehensverlust der Zollverwaltung mir gegenüber erfolgte erstmalig in 2019 und somit mehrere Jahre zu herbeigeführt zu haben. Der mit der dienstlichen Nut- spät. In der Folge habe ich von meinen Abhilfebefug- zung des Messengerdienstes WhatsApp möglicherweise nissen nach der DSGVO Gebrauch gemacht und das begangene Datenschutzverstoß wurde dagegen durch Zollfahndungsamt verwarnt sowie zugleich angewiesen, die Zollverwaltung bestritten und bisher nicht in glei- die Informationspflicht bei der Erhebung personenbezo- cher Weise verfolgt. Die Reaktion der zuständigen Stelle gener Daten nach Art. 5 Abs. 1 lit. a und Art. 13 DSGVO innerhalb der Zollverwaltung lässt aus meiner Sicht auf endlich zu erfüllen. Meiner Anweisung ist das Zollfahn- eine ungenügende Sensibilität für den Datenschutz und dungsamt nachgekommen. das Grundrecht auf informationelle Selbstbestimmung Beratungs- und Kontrollbesuch in der Generalzolldi- schließen. Die Art und Weise des Umgangs mit Hinweis- rektion gebern innerhalb der Zollverwaltung ist nicht mit mei- nen Vorstellungen einer transparenten, problembewuss- Im Rahmen eines von meinen Mitarbeiterinnen und ten, datenschutzsensiblen und fairen Bundesverwaltung Mitarbeitern bei der Generalzolldirektion durchgeführ- vereinbar. Insbesondere darf der Hinweis auf einen ten Beratungs- und Kontrollbesuchs habe ich das daten- potentiellen Datenschutzverstoß auch dann nicht zu schutzkonforme Führen von Personalakten kontrolliert Nachteilen für die meldende Person führen, wenn diese und verschiedene datenschutzrechtliche Verstöße fest- nicht unmittelbar vom Verstoß betroffen ist. Andernfalls gestellt. Von der Ergreifung von Maßnahmen habe ich besteht die Gefahr, dass die im Interesse der Allgemein- abgesehen. Zum einen wurde der Generalzolldirektion heit liegende Bereitschaft, auf potentiell rechtswidrige die Zuständigkeit für einen Teil der Personalakten durch Datenverarbeitungen hinzuweisen, aus Angst vor mögli- die Neuorganisation und Gründung als Bundesoberbe- chen Repressionen insgesamt abnimmt. hörde im Jahr 2016 erstmals übertragen. Zum anderen konnte ich keine unmittelbar nachteilige Auswirkung Verlust von Disziplinarvorgängen der Verstöße auf Rechte von Beschäftigten erkennen. Die Ebenfalls im Berichtszeitraum meldete mir die Zollver- mir zugesagte Aufarbeitung der Personalakten werde ich waltung den Verlust von zwei Disziplinarvorgängen als zu gegebener Zeit kontrollieren. Datenschutzverletzung. Im Zuge meiner Ermittlungen Die Zusammenarbeit war seitens der Zollverwaltung teilte ich meine Absicht mit, die Zollverwaltung anzu- vielfach durch mangelnde Sensibilität für die Belange weisen, Personalvorgänge künftig nur noch von Hand zu des Datenschutzes, beharrliches Bestreiten von Vorwür- Hand oder über zugangsbeschränkte Postverteilräume fen, Abtun von Beweisen sowie die Nichtahndung von beziehungsweise abschließbare Postfächer zu vertei- Verstößen geprägt. Für die Zukunft hoffe ich auf eine len. Die Generalzolldirektion reagierte hierauf mit der von gegenseitigem Respekt geprägte und konstruktive Behauptung, dass ein entsprechender Anweisungsbe- Zusammenarbeit mit der Zollverwaltung. scheid wegen Unmöglichkeit der Umsetzung nichtig sei. Die Generalzolldirektion wurde zwischenzeitlich vom Bundesministerium der Finanzen zur Weitergabe

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 65 6.11 Datenschutzverstöße bei der beendet. In Bezug auf den Umfang und die Art der Bundespolizei Nutzung der Datei durch die Bundespolizei führte die Kontrolle nicht zu einer förmlichen Beanstandung. Ins- Durch Anfragen und Beschwerden wurde ich auf da- besondere die Unterscheidung von Fahndungsausschrei- tenschutzrechtliche Missstände bei der Bundespolizei bungen im GGFB und solchen im Schengener Informa- (BPol) aufmerksam und konnte Verbesserungen errei- tionssystem war gut nachvollziehbar. Nur bei einzelnen chen. Betroffen hiervon war auch die Veröffentlichung Ausschreibungen stellte ich Fehler fest. Hier konnte ich von Bildern auf Twitter. bei der Bundespolizei (BPol) eine umgehende Korrektur erreichen. Nachbesserungsbedarf habe ich in Bezug auf Im Rahmen von Bürgereingaben wurde ich auf daten- die Ausgestaltung der Protokollierung geltend gemacht. schutzrechtliche Missstände bei der BPol aufmerksam gemacht. Ein Fall betraf etwa die Grenzabfertigung von Erneut musste ich beanstanden, dass für den GGFB noch Reisebussen. Dort wurden häufig die Grenzübertrittspa- immer keine ausreichende Rechtsgrundlage existiert. piere nicht von den Bundespolizeibediensteten an die Die BPol führt die Datei des GGFB aufgrund der §§ 30 Reisenden zurückgegeben, sondern von den Busfahrern. und 31 BPolG. Hiernach ist das BMI gesetzlich verpflich- Auf meine Nachfragen hin wurde diese Praxis von der tet, die bloßen Rahmenbedingungen, die das BPolG für BPol geprüft und eine Änderung der Abläufe zugesagt. den GGFB festlegt, durch eine Rechtsverordnung näher Künftig soll die Rückgabe der Papiere nur noch von den auszugestalten. Es kann und darf diese Aufgabe nicht hierzu befugten Polizeibeamten und Polizeibeamtinnen der ausführenden Behörde, also der BPol, überlassen. erfolgen. Die Führung des GGFB ohne diese Rechtsverordnung ist rechtswidrig. Auch ein Fall, bei dem die Rechtmäßigkeit der Video- überwachung eines Bahnhofes im Zusammenhang mit Bereits im April 2015 hatte ich das BMI auf diesen der An- und Abreise zu und von einer Demonstration Umstand hingewiesen. Nachdem das BMI im Jahre 2018 geprüft wurde, sollte künftig zu Verbesserungen beim noch immer keine Rechtsverordnung erlassen hatte, Datenschutz führen. So werden nun in ähnlich gela- beanstandete ich im selben Jahr die fehlende Rechts- gerten Fällen die Videodaten nicht mehr nach maximal grundlage (vgl. 27. TB Nr. 9.3.9). Auch zum Zeitpunkt der 30 Tagen, sondern schnellstmöglich gelöscht. Zudem Kontrolle im Jahre 2019 und bis Redaktionsschluss im habe ich darauf aufmerksam gemacht, dass die Prü- November 2020 hat das BMI die konstituierende Rechts- fung, ob überhaupt eine Videoüberwachung zulässig verordnung nicht erlassen. Während das BMI zunächst ist, insbesondere bei Demonstrationen, die regelmäßig Bereitschaft äußerte, die Rechtsverordnung zu erlassen, im Spannungsfeld von Gefahrenabwehr einerseits und stellt es seit 2018 auf die anstehende Novelle des BPolG dem Grundrecht auf Versammlungsfreiheit andererseits ab. Diese Novelle ist aber bisher nicht einmal in den stehen, umfassender zu erfolgen hat. Im Dezember 2020 Deutschen Bundestag eingebracht worden. wurde zu dieser Videoüberwachung auch Klage vor dem Im GGFB sind regelmäßig mehrere Tausend Personen Verwaltungsgericht Berlin erhoben. ausgeschrieben. Für diese können die Ausschreibungen Auch bei der Nutzung von Twitter gab es Verbesse- erhebliche Folgen haben wie etwa Ingewahrsamnahme, rungspotential. In drei Fällen verwendete die BPol ein Ausreiseuntersagung oder grenzpolizeiliche Beobach- Symbolfoto, auf dem der Reisepass einer echten Person tung. Auch der Verfassungsschutz kann Ausschreibun- erkennbar war. Dabei war es möglich, die im Pass ange- gen veranlassen. gebenen Daten wie etwa Name, persönliche Merkmale Das BMI hätte die Möglichkeit, diesen rechtswidrigen und das Passfoto zu erkennen. Hier konnte ich eine Zustand zu beenden. Politische Unwägbarkeiten sollten rasche Löschung erreichen. nicht zu einer weiteren Verlängerung dieses erheblichen Mangels führen. 6.12 Geschützter Grenzfahndungs- bestand

Der „Geschützte Grenzfahndungsbestand“ (GGFB) der Bundespolizei wird weiter ohne ausreichende Rechts- grundlage geführt.

Die von mir regelmäßig durchgeführte Kontrolle des GGFB fand auch im Jahre 2019 statt. Sie wurde nach abschließender Stellungnahme des BMI im Jahre 2020

66 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 7 Weitere Einzelthemen

7.1 Datenschutzaufsicht im parla- BVerfG zur Parlamentsautonomie zu prüfen. Im Novem- mentarischen Bereich ber 2019 teilte ich dem Deutschen Bundestag mit, dass ich beabsichtige, künftig meine datenschutzrechtlichen Die Aufsicht über Datenverarbeitungen durch den Aufsichtsbefugnisse in Fällen auszuüben, in denen ich Deutschen Bundestag, seine Fraktionen und Mitglieder die Parlamentsautonomie nicht tangiert sehe. Seitdem wirft schwierige Rechtsfragen auf. Die Fraktionen des bin ich in Gesprächen mit dem Deutschen Bundestag, Bundestags haben nunmehr meine Empfehlung aufge- wie weit die Parlamentsautonomie im Zusammenhang griffen, sich eine eigene Datenschutzordnung zu geben. mit der Verarbeitung personenbezogener Daten durch Hierzu haben sie eine Arbeitsgruppe eingerichtet, in Abgeordnete reicht bzw. wo es darüber hinaus Bereiche deren Beratungen ich eingebunden bin. gibt, in denen datenschutzrechtliche Aufsichtsmaßnah- men durch mich zulässig sind, um keine aufsichtsfreien Mit Anwendbarkeit der Datenschutz-Grundverordnung Räume entstehen zu lassen. (DSGVO) zum 25. Mai 2018 stellte sich die Frage, inwie- weit diese Vorschriften für den Deutschen Bundestag, Im Sommer 2020 entschied der EuGH (Urteil vom 9. Juli die Fraktionen und Ausschüsse sowie einzelne Abgeord- 2020, Az. C-272/19) aufgrund einer Vorlage des VG nete gelten und ob sie meiner datenschutzrechtlichen Wiesbaden, dass der Petitionsausschuss des hessischen Aufsicht unterstehen. Im parlamentarischen Bereich Landtags Verantwortlicher im Sinne der DSGVO ist. werden personenbezogene Daten zu vielfältigen Zwe- Der Begründung des Urteils kann zudem entnommen cken verarbeitet. So werden beispielsweise Daten von werden, dass der EuGH die DSGVO für unmittelbar Bürgerinnen und Bürgern im Rahmen von Petitionen anwendbar auch auf Datenverarbeitungen des Parla- oder Anfragen (z.B. aus den Wahlkreisen) verarbeitet. ments und seiner Mitglieder im Kernbereich parla- Gleiches gilt bei der Öffentlichkeitsarbeit, etwa über die mentarischer Tätigkeiten hält. Damit unterliegen die eigene Homepage oder die vielfältigen Aktivitäten von Fraktionen und Abgeordneten wie andere öffentliche Abgeordneten in sozialen Netzwerken. Nicht zuletzt sind Stellen des Bundes grundsätzlich meiner datenschutz- Abgeordnete Arbeitgeberinnen und Arbeitgeber und ver- rechtlichen Aufsicht. Mir ist allerdings bewusst, dass ich arbeiten auch auf diese Weise personenbezogene Daten bei der Ausübung dieser Aufsicht die besondere Stel- ihrer Beschäftigten. In meinem 27. TB war ich zunächst lung der Mitglieder des Deutschen Bundestags als Teil von einer entsprechenden Geltung der DSGVO für Daten- der Legislative berücksichtigen muss. Hier gilt es, nach verarbeitungen von Parlamenten und ihren Untergliede- Maßgabe der Rechtsprechung des BVerfG den Grundsatz rungen ausgegangen. Demzufolge beschränkte ich mich der Gewaltenteilung aus Art. 20 Absatz 2 Satz 2 GG sowie aus verfassungsrechtlichen Gründen darauf, nur meine die Freiheit der Mandatsausübung durch ein Mitglied Beratungsaufgaben wahrzunehmen. Schon zu diesem des Deutschen Bundestages (Art. 38 Absatz 1 Satz 2 GG) Zeitpunkt empfahl ich dem Deutschen Bundestag, sich zu wahren. Die einzelnen Abgeordneten sind nach der eine eigene Datenschutzordnung unter Beachtung der verfassungsrechtlichen Rechtsprechung nicht von vorn- Vorgaben der DSGVO zu geben (vgl. 27. Tb, Nr. 14.1.1). herein jeder exekutiven Kontrolle entzogen. Dies ist aber in erster Linie eine eigene Angelegenheit des Deutschen Mehrere datenschutzrechtliche Eingaben zu Datenver- Bundestages, der dabei im Rahmen seiner Parlaments- arbeitungen durch Abgeordnete und Fraktionen des autonomie zu handeln hat. Deutschen Bundestags veranlassten mich, meine Zustän- digkeit für die datenschutzrechtliche Kontrolle über die Die Fraktionen des Deutschen Bundestages sind der- Mitglieder und die Fraktionen des Deutschen Bundes- zeit unter meiner Einbindung im Gespräch, wie eine tages unter Berücksichtigung der Rechtsprechung des Datenschutzordnung des Deutschen Bundestags und

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 67 wie eine den Besonderheiten des Parlaments und den dauerten zum Redaktionsschluss dieses Tätigkeitsbe- Bestimmungen der DSGVO Rechnung tragende Regelung richts noch an. der datenschutzrechtlichen Aufsicht aussehen könnte. Vorerst werde ich mich daher weiter auf meine Bera- tungsaufgabe gegenüber Abgeordneten des Deutschen 7.3 Register im Gesundheits- Bundestages beschränken. bereich

Die Nutzung von Daten zu Forschungszwecken bleibt 7.2 Interdisziplinärer Beirat im Gesundheitsbereich ein aktuelles Thema. Der Trend, Beschäftigtendatenschutz auf gesetzlicher Grundlage verpflichtend medizinische Daten zu sammeln, hat sich auch im Jahr 2020 unver- Datenskandale verdeutlichen immer wieder, dass bei mindert fortgesetzt. Die Vorteile für Forschung und der Verarbeitung von Beschäftigtendaten oft wenig Behandlung dürfen nicht zu Lasten des Schutzes der be- Transparenz oder Rechtssicherheit herrscht. Seit vielen troffenen Patienten, zum Beispiel vor Missbrauch und Jahren fordern die Datenschutzaufsichtsbehörden von Identifizierung gehen. Daher sind sichere Verfahren Bund und Ländern deshalb ein Beschäftigtendaten- vorzusehen. Die möglichen „Nebenwirkungen“ müssen schutzgesetz. Im Sommer 2020 hat der Bundesminister im Blick bleiben, wenn das Datensammeln als „Allheil- für Arbeit und Soziales nun einen interdisziplinären, mittel“ aufgefasst wird. wissenschaftlichen Beirat unter der Leitung der ehema- Implantateregister ligen Bundesjustizministerin, Prof. Dr. Herta Däubler- Gmelin, berufen, dem auch der BfDI angehört. Über das neu errichtete bundesweite Implantateregister habe ich bereits in meinem letzten Tätigkeitsbericht un- In einer zunehmend digitalisierten Arbeitswelt werden ter Nr. 4.2.2 (S. 28/29) ausführlich berichtet. Problema- durch den Einsatz von Künstlicher Intelligenz und Big tisch erwies sich hier, dass das Bundesministerium für Data-Anwendungen immer mehr personenbezogene Gesundheit (BMG) das Deutsche Institut für medizini- Daten von Beschäftigten verarbeitet. Damit steigt für sche Dokumentation und Information (DIMDI) auflösen Beschäftigte das Risiko, ihre Privatsphäre bis hin zu und dessen Aufgaben dem Bundesinstitut für Arznei- einer totalen Überwachung einzubüßen. Künstliche mittel und Medizinprodukte (BfArM) übertragen wollte. Intelligenz in Bewerbungsverfahren, Screening von Hier konnte ich erreichen, dass diese Übertragung nicht Beschäftigten, GPS-Tracking oder Videoüberwachung durch einen Erlass des BMG erfolgte. sind nur einige Herausforderungen, bei denen Rege- lungslücken sichtbar werden. Sie machen einen Schutz Stattdessen gab es ein förmliches Gesetzgebungsver- von Beschäftigten durch klare gesetzliche Regelungen fahren, um die betreffenden Vorschriften durch den wichtiger denn je. Seit vielen Jahren fordern die Daten- Deutschen Bundestag selbst zu ändern. Diese Aufgaben- schutzaufsichtsbehörden von Bund und Ländern des- übertragung war von wesentlicher Bedeutung, weil sie halb ein Beschäftigtendatenschutzgesetz, das spezifische dazu führte, dass beim BfArM verschiedene Funktionen Verarbeitungen sowie den Einsatz neuer Technologien zusammenfielen, die bisher bewusst verschiedenen im Beschäftigtenkontext regelt. Dabei geht es insbe- Behörden zugewiesen waren. Für das Implantateregister sondere um Eckpunkte wie beispielsweise ein Verbot wurde diese Problematik gelöst, indem die Führung des der Totalüberwachung, Grenzen einer Verhalts- und Registers übergangsweise dem BMG zugeordnet wurde. Leistungskontrolle und Beweisverwertungsverbote. In Dies entspricht leider nicht meiner Empfehlung, eine Reaktion auf den im Koalitionsvertrag der 19. Legisla- unabhängige Registerbehörde zu schaffen. Das Regis- turperiode verankerten Prüfauftrag zum Beschäftigten- ter hat den unmittelbaren Wirkbetrieb bislang nicht datenschutz hat das Bundesministerium für Arbeit und aufgenommen. Es fehlt noch an einer Rechtsverord- Soziales im Sommer 2020 einen interdisziplinären und nung, die nähere Festlegungen trifft. Da vorgesehen ist, unabhängigen Beirat mit der Erarbeitung gemeinsamer dass verschiedene Berechtigte, u.a. das BfArM, für ihre Handlungsempfehlungen zu einem eigenständigen Aufgaben sowie die Hochschulen für wissenschaftliche Beschäftigtendatenschutzgesetz eingesetzt. Dem Beirat Forschung die Registerdaten nutzen können, ist wesent- unter der Leitung von Prof. Dr. Herta Däubler-Gmelin lich, den Zugang zu den Daten durch ein sachgerechtes gehören namhafte Vertreterinnen und Vertreter aus Verfahren zu regeln. Ein Antrag auf Nutzung muss Wissenschaft, Wirtschaft und Verwaltung an, die die ordnungsgemäß geprüft werden. Dies ist nur gewährleis- Fragestellungen zum Beschäftigtendatenschutz unter tet, wenn die entscheidende Stelle – hier die Register- juristischen, ethischen, philosophischen und techni- stelle – unabhängig ist und insbesondere keine eigenen schen Aspekten betrachten. Die Beratungen des Beirats Nutzungsinteressen hat. Das Implantateregister wird auf verpflichtender gesetzlicher Grundlage eine enorme

68 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Anzahl von Datensätzen enthalten. Daher müssen hier verlaufsbegleitend die onkologische Versorgung in besondere Vorkehrungen zur Absicherung bei Speiche- der stationären und ambulanten Behandlung. In den rung und Nutzungszugang getroffen werden. bundesweit einheitlich vorgegebenen Datensätzen sind viele Angaben zu Person und Behandlung enthalten, Organspenderregister einschließlich Operation, Art der Therapie, Arzneimittel Nach lebhafter politischer Auseinandersetzung wurde und Dosis. Die epidemiologischen Krebsregister dienen am 16. März 2020 das Gesetz zur Stärkung der Entschei- der bevölkerungsbezogenen Analyse. Sie geben Aus- dungsbereitschaft bei der Organspende beschlossen, das kunft, wie häufig Krebserkrankungen in einer Region zum 1. März 2022 in Kraft treten wird. Damit wird ein und einem bestimmten Alter vorkommen. Ein Teil bundesweites Online-Register für die Dokumentation dieser weitgehend statistischen Angaben wurden bisher der Erklärung zur Organspende eingerichtet. Ich habe bereits im Zentrum für Krebsregisterdaten (ZfKD) beim zunächst das DIMDI, dann das BfArM bei der techni- RKI zusammengeführt. Nun ist beabsichtigt, auch um- schen Umsetzung beraten. Wesentliches Thema war fangreiche Angaben aus den klinischen Krebsregistern hier eine sichere Authentifizierung, damit gewährleistet beim ZfKD zusammenzuführen. Dies sehe ich kritisch, ist, dass die dokumentierte Erklärung auch wirklich da durch die Zusammenführung die Daten weitgehend von der benannten Person stammt. Dies lässt sich am verdoppelt werden. Dies widerspricht dem Grundsatz einfachsten mit der Online-Funktion des neuen Perso- der Datensparsamkeit. Die Daten sollen verschiedenen nalausweises sicherstellen. Leider nutzen viele Bürger Berechtigten zu Forschungszwecken zur Verfügung ge- diese Funktion bisher nicht. Daher mussten alternative stellt werden können. Die Nutzung von Gesundheitsda- Möglichkeiten entwickelt werden. Wichtig ist auch, dass ten zu Forschungszwecken ist von gesamtgesellschaftli- im Falle der Möglichkeit zur Transplantation garantiert cher Bedeutung. Wichtig ist deshalb, dass das Verfahren die richtige Erklärung gefunden wird. Um Verwechse- zur Entscheidung über den Antrag datenschutzgerecht lungen auszuschließen, war ich zum Schutz der Betrof- ausgestaltet wird und bestmöglichen Schutz für sensible fenen damit einverstanden, dass die Krankenversicher- Gesundheitsdaten bietet. tennummer als Unterscheidungskriterium verwendet Querverweise: werden kann. Da die Krankenversichertennummer eigentlich nur für Zwecke der Krankenversicherung 4.2 Patientendaten-Schutz-Gesetz, 5.7 Datentransparenz- verwendet werden darf, ist dies eine Ausnahme. Diese verordnung Regelung darf nicht dazu führen, die Krankenversicher- tennummer als Personenkennziffer zur Zuordnung oder Identifizierung zu nutzen. Das BfArM wird das Organ- 7.4 Nachbessern, aber bitte richtig - spenderregister nicht selbst führen, sondern hat die der zweite Beschluss des Bundes- Bundesdruckerei mit der Registerführung beauftragt. Leider hat das BfArM versäumt, mich hierüber frühzei- verfassungsgerichts zur Bestands- tig zu informieren. datenauskunft Weitere Register im Gesundheitswesen Das Bundesverfassungsgericht hat im Mai 2020 die Übermittlungsvorschrift des § 113 Telekommunikati- Im Berichtszeitraum habe ich mich auch mit der Erwei- onsgesetzes (TKG) sowie eine Reihe mit ihm korres- terung des Umfangs der Daten befasst, die aufgrund pondierender fachgesetzlicher Abrufregelungen für der Datentransparenzvorschriften im Forschungsdaten- verfassungswidrig erklärt. Damit hat es seine Recht- zentrum beim BfArM gespeichert werden. Dies sind die sprechung aus dem Bestandsdatenauskunft I-Beschluss Abrechnungsdaten, die den Krankenkassen zu ihren von 2012 konkretisiert. Der Gesetzgeber hat jetzt bis Versicherten vorliegen. Zu diesen kommen ab dem Jahr zum 31. Dezember 2021 Zeit, um nachzubessern. 2023 die Daten hinzu, die die Versicherten auf freiwilli- ger Basis aus ihrer sogenannten elektronischen Patien- Mit Beschluss vom 27. Mai 2020 (1 BvR 1873/13, 1 BvR tenakte (EPA) für die Forschung freigeben. 2618/13) machte das Bundesverfassungsgericht (BVerfG) neue Vorgaben zur Auskunft von Telekommunikati- Eine weitere Sammlung von medizinischen Daten soll onsdiensteanbietern an Sicherheitsbehörden über die beim Robert Koch-Institut (RKI) durch eine zentrale Zu- Bestandsdaten ihrer Kundinnen und Kunden. In mei- sammenführung der Daten aus den klinischen Krebsre- nem 24. Tätigkeitsbericht hatte ich bereits ausführlich gistern der Länder entstehen. Der Gesetzentwurf hierzu zum Beschluss „Bestandsdatenauskunft I“ des BVerfGs hat mich zum Ende des Jahres erreicht. In den Bundes- berichtet (vgl. 24. TB Nr. 6.2). ländern gibt es bereits Krebsregister, die epidemiolo- gische und klinische Daten zu den Krebserkrankungen Damals erklärte das Gericht § 113 Abs. 1 S. 1 TKG bei enthalten. Die klinischen Krebsregister dokumentieren verfassungskonformer Auslegung noch für mit dem

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 69 Grundgesetz vereinbar. Nunmehr erklärte es den – infol- Bestandsdatenauskunft auch nach begangenen Ord- ge des Beschlusses „Bestandsdatenauskunft I“ geänder- nungswidrigkeiten erfolgen. ten § 113 Abs. 1 TKG – für verfassungswidrig. Insbeson- Mit der höchstrichterlichen Entscheidung ist eine Aus- dere wegen fehlender Normenklarheit erklärten die kunft über gespeicherte Bestandsdaten von Telekommu- Karlsruher Richter eine Reihe weiterer mit § 113 Abs. 1 nikationskunden grundsätzlich weiterhin zulässig. Das TKG korrespondierender fachgesetzlicher Abrufrege- BVerfG hat allerdings klargestellt, dass der Gesetzgeber lungen aus dem Bundespolizeigesetz, dem Bundeskri- verhältnismäßige und hinreichend bestimmte Rechts- minalamtgesetz, dem Zollfahndungsdienstgesetz, dem grundlagen für die Telekommunikationsanbieter und für Bundesverfassungsschutzgesetz, dem BND-Gesetz und die abfragenden Sicherheitsbehörden schaffen muss. dem MAD-Gesetz für verfassungswidrig. Diese einzelnen Befugnisse zum Datenabruf sind nicht hinreichend be- Doppeltürenmodell bestätigt grenzt und missachten die notwendigen Anforderungen Mit seinem Beschluss hat das Gericht das sog. Doppeltü- an Transparenz, Rechtsschutz und Kontrolle. renmodell aus seiner Entscheidung „Bestandsdatenaus- Das Gericht verlangt, dass Abrufregelungen die Verwen- kunft I“ bestätigt. Danach darf sowohl die Anfrage durch dungszwecke der Daten hinreichend begrenzen müssen. die Sicherheitsbehörde als auch die Übermittlung der Dabei sind Anlass, Zweck und Umfang des Eingriffs auch Bestandsdaten durch die Diensteanbieter nur aufgrund für den Datenabruf bereichsspezifisch, präzise und nor- einer jeweils eigenständigen Rechtsgrundlage erfolgen. menklar festzulegen. So ist der Abruf für vielfältige und Für eine wirksame Bestandsdatenauskunft müssen also unbegrenzte Verwendungen im gesamten Aufgabenbe- zwei „Türen“ geöffnet werden. Das BVerfG hat weiterhin reich einer Behörde unzulässig. klargestellt, dass für die Zulässigkeit einer Bestandsda- tenanfrage grundsätzlich im Einzelfall eine konkrete Ebenso für verfassungswidrig erklärte das Gericht § 113 Gefahr oder ein Anfangsverdacht einer Straftat vorliegen Abs. 2 S. 1 TKG, da in der Vorschrift eine Beschränkung muss. Andernfalls müssen höherrangige Rechtsgüter auf die Abwehr von Gefahren für Rechtsgüter von betroffen sein. hervorgehobenem Gewicht fehlt. Überdies kann eine

70 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Betrifft die Bestandsdatenauskunft die Zuordnung einer lung eines derartigen Fehlers im Rahmen der anstehen- dynamischen IP-Adresse, hat dieser Eingriff ein höhe- den TKG-Novelle zu vermeiden, ist eine verfassungsge- res Gewicht. Deshalb müssen zusätzlich zur konkreten mäße Anpassung des § 113 TKG geboten. Darauf habe Gefahr im Einzelfall oder zum Anfangsverdacht einer ich den Gesetzgeber im Rahmen des aktuellen Gesetz- Straftat hinreichend gewichtige Rechtsgüter betroffen gebungsverfahrens ausdrücklich hingewiesen. Das sein. Diese Voraussetzungen erfüllen die angegriffenen Bundesinnenministerium hat im November 2020 einen Regelungen weitgehend nicht. Der Gesetzgeber muss Referentenentwurf für ein „Reparaturgesetz“ vorgelegt also bei den Übermittlungsbefugnissen und den Ab- mit dem Ziel, § 113 TKG und die korrespondierenden frageregelungen für die Sicherheitsbehörden nachbes- fachgesetzlichen Abrufregelungen verfassungsgemäß sern. Dafür hat er bis zum 31. Dezember 2021 Zeit. Ich im Sinne des „Bestandsdatenauskunft II“-Beschlusses empfehle dem Gesetzgeber jedoch, zur Klarstellung und auszugestalten. Ich bin der Ansicht, dass die Regelungen datenschutzfreundlicheren Ausgestaltung der Rechtsla- des BVerfGs-Beschlusses in dem „Reparaturgesetz“ noch ge bereits früher tätig zu werden. Für ein zügiges Tätig- nicht vollumfänglich umgesetzt wurden und habe dies werden des Gesetzgebers habe ich mich auch in Rahmen im Gesetzgebungsverfahren bemängelt. Meine Kritik einer Entschließung zum manuellen Auskunftsverfahren blieb bisher jedoch ungehört. der Konferenz der unabhängigen Datenschutzaufsichts- Querverweis: behörden des Bundes und der Länder (DSK) vom 25. November 2020 eingesetzt. 5.10 Aktuelle Gesetzgebung und sonstige Regelungen im Telekommunikationsbereich Bereits während der Gesetzesänderungen im TKG in Folge der Entscheidung „Bestandsdatenauskunft I“ hatte ich mich dafür stark gemacht, die grundsätzliche 7.5 Anonymisierung – Eine Stand- Notwendigkeit und den sehr weit gefassten Umfang der Bestandsdatenauskunft kritisch zu hinterfragen (vgl. 24. ortbestimmung zwischen der TB Nr. 6.3). Insbesondere meine Bedenken zur Verhält- DSGVO und dem TKG nismäßigkeit des neu gefassten § 113 Abs. 1 TKG blieben im damaligen und in weiteren Gesetzgebungsverfahren Mit meinem Positionspapier zur Anonymisierung – leider unberücksichtigt. unter besonderer Berücksichtigung der TK-Branche – habe ich das erste öffentliche Konsultationsverfahren Recht auf informationelle Selbstbestimmung gestärkt meiner Behörde erfolgreich durchgeführt. Trotz diver- Mit seinem Beschluss „Bestandsdatenauskunft II“ hat ser Meinungsverschiedenheiten der Beteiligten konnte das BVerfG meine langjährige Kritik bestätigt, das Recht am Ende eine klare Positionierung erfolgen. auf informationelle Selbstbestimmung gestärkt und der Am 29. Juni 2020 habe ich mein „Positionspapier zur Bestandsdatenauskunft klare Grenzen gesetzt. Auch in Anonymisierung unter der DSGVO unter besonderer meiner Stellungnahme im Rahmen des Gerichtsver- Berücksichtigung der TK-Branche“ veröffentlicht. Es fahrens habe ich die unbestimmte Reichweite und die entstand nach der Durchführung des ersten öffentli- unklare Zweckbindung vieler Regelungen kritisiert. Das chen Konsultationsverfahrens meiner Behörde. Trotz BVerfG griff auch den von mir im Verfahren geltend ge- der hohen praktischen Bedeutung der Anonymisierung machten Vortrag auf, dass Behörden bisher keine Doku- macht die Datenschutz-Grundverordnung (DSGVO) mentationspflichten bei der Zuordnung von IP-Adressen nur sehr rudimentäre Ausführungen zur Anonymisie- auferlegt werden. Die Dokumentation ermöglicht aber rung. Diese unklare Rechtslage nahm ich zum Anlass, eine datenschutzrechtliche Kontrolle des Abrufs von vom 10. Februar bis zum 23. März 2020 eine öffentliche Bestandsdaten anhand von IP-Adressen und erleichtert Konsultation zur Anonymisierung – unter besonderer die verwaltungsgerichtliche Kontrolle. Laut BVerfG sind Berücksichtigung der TK-Branche – durchzuführen. die rechtlichen und tatsächlichen Grundlagen entspre- Insgesamt habe ich im Laufe des Verfahrens 41 Stellung- chender Auskunftsbegehren im Zusammenhang mit der nahmen von Landesdatenschutzbehörden, Verbänden, Zuordnung dynamischer IP-Adressen aktenkundig zu Unternehmen, Forschungseinrichtungen und Privatper- machen. sonen erhalten. Nach Auswertung aller Stellungnahmen Zur Auskunft anhand der IP-Adressen hatte ich bereits wurde das Positionspapier zusammen mit denjenigen im Gesetzgebungsverfahren darauf hingewiesen, dass Stellungnahmen, zu denen mir seitens der Beteiligten die Vorschrift des § 113 Abs. 1 S. 3 TKG viel zu weit eine Einwilligung erteilt wurde, auf meiner Website gefasst ist und der vorherigen Entscheidung „Bestands­ veröffentlicht. Das Papier soll den aktuellen rechtlichen datenauskunft I“ widerspricht. Der Gesetzgeber hat Rahmen für die Anonymisierung aufzeigen und Ver- diese Verfassungswidrigkeit ignoriert. Um die Wiederho- antwortlichen eine Orientierung bei der datenschutz-

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 71 rechtlichen Bewertung ihrer Anonymisierungspraktiken Zwecke und die Rechtsgrundlage der Anonymisierung bieten. Letztlich soll das Papier damit zur Rechtssicher- mitzuteilen. Sofern die Anonymisierung eine Weiter- heit beitragen. verarbeitung für einen anderen Zweck darstellt, greift zusätzlich noch die Transparenzpflicht des Art. 13 Abs. Nach Berücksichtigung der Stellungnahmen sind die 3 DSGVO. Vor einer Anonymisierung ist grundsätzlich Hauptpunkte des Papiers die folgenden: Jede Anony- eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 misierung stellt – aus verschiedenen Gründen – eine DSGVO durchzuführen. Denn bei einer Anonymisierung Verarbeitung personenbezogener Daten dar und bedarf muss der Verantwortliche regelmäßig davon ausgehen, deshalb einer Rechtsgrundlage. Als Rechtsgrundlage dass voraussichtlich ein hohes Risiko besteht. Das liegt kommt grundsätzlich jeder der in Art. 6 Abs. 1 DSGVO daran, dass in der Regel eine „Verarbeitung in großem genannten Erlaubnistatbestände in Betracht. Praktische Umfang“ stattfindet und die jeweilige Anonymisierungs- Relevanz dürften vor allem die Einwilligung und die technik dem Begriff der neuen Technologien unterfällt. Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO in Verbin- Außerdem spricht für die Durchführung einer Daten- dung mit der ursprünglichen Rechtsgrundlage haben, schutz-Folgenabschätzung, dass die Generierung eines sofern der neue Zweck mit dem ursprünglichen Verar- anonymen Datenbestandes eine komplexe Aufgabe des beitungszweck vereinbar ist. Dass die ursprüngliche Verantwortlichen darstellt und viele Fehlerquellen birgt. Rechtsgrundlage bei einer Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO Anwendung findet, verdeutlicht auch Meine Konsultation geht einher mit Bemühungen des Erwägungsgrund 50 Satz 2 DSGVO. Der Verarbeitungs- Europäischen Datenschutzausschusses (EDSA), die Vor- zweck der jeweiligen Anonymisierung ist das hinter der gaben an mögliche Anonymisierungstechniken weiter Anonymisierung stehende tatsächliche Interesse des zu konkretisieren. Die Technology Subgroup des EDSA Verantwortlichen – und nicht etwa die Aufhebung des plant aktuell die Überarbeitung der Stellungnahme Personenbezugs. 5/2014 zu Anonymisierungstechniken, um die Stellung- nahme noch innovations- und anwenderfreundlicher zu Speziell für Telekommunikationsdienstleister ist eine gestalten. Anonymisierung auch für Verkehrs- und Standortdaten möglich. So dürfen zum Beispiel Verkehrsdaten nach § 96 Absatz 1 Satz 2 Alternative 2 Telekommunikations- 7.6 Unverschlüsselte Steuerdaten gesetz (TKG) nur verwendet werden, soweit dies für die durch andere gesetzliche Vorschriften begründeten Die Kommunikation mit einem Finanzamt per E-Mail Zwecke erforderlich ist. Insofern verpflichtet § 96 Absatz erfolgt typischerweise unverschlüsselt, so dass diese 1 Satz 3 TKG den Diensteanbieter, die anderen Ver- durch Dritte mitgelesen oder verändert werden könnte. kehrsdaten nach Beendigung der Verbindung unverzüg- Manche Finanzämter versenden vorab einen Vordruck, lich zu löschen. Da die personenbezogenen Daten auch in dem die Bürgerinnen und Bürger einer unverschlüs- durch deren Anonymisierung gelöscht werden können, selten E-Mail-Kommunikation durch das Finanzamt entsprechen die Telekommunikationsdienstleister mit zustimmen können. Mit dieser Einwilligung versuchen der Anonymisierung von Verkehrsdaten der Löschungs- die Finanzämter, dem Datenschutzrecht Rechnung zu verpflichtung von § 96 Absatz 1 Satz 2 Alternative 2 TKG. tragen und das Steuergeheimnis zu wahren. Wie in mei- Nach § 98 Absatz 1 TKG dürfen Standortdaten anonymi- nem 28. Tätigkeitsbericht (Nr. 8.3) dargestellt, ist eine siert verarbeitet werden, soweit dies zur Bereitstellung wirksame Einwilligung in unverschlüsselten E-Mail-Ver- von Diensten mit Zusatznutzen erforderlich ist. Ein kehr gegenüber einer Behörde aber datenschutzrecht- typisches Beispiel hierfür sind Ortungsdienste. lich nicht möglich.

Weiterhin stellt jede Anonymisierung einen stetigen Die Bürgerinnen und Bürger haben ein wachsendes Prozess dar und ist nicht mit einem Mal erledigt. Dem Bedürfnis, ihre Kommunikation mit dem Finanzamt Verantwortlichen obliegt insofern die fortwährende digital zu führen. Dazu stehen derzeit nur eingeschränk- Aufgabe, die Validität seiner Anonymisierungsverfahren te technische Möglichkeiten zur Verfügung. Die Verant- zu überprüfen. Eine absolute Anonymisierung ist jedoch wortung, einen sicheren Übertragungsweg anzubieten, weder technisch möglich noch datenschutzrechtlich liegt bei den Finanzämtern. Möchte ein Finanzamt ein gefordert. Ausreichend ist vielmehr, dass eine Re-Identi- Dokument digital senden, muss es nach Art. 32 Abs. 1 lit. fizierung der betroffenen Personen praktisch nicht mehr a) Datenschutz-Grundverordnung (DSGVO) dafür sorgen, möglich ist. dass die angewendeten technischen und organisatori- schen Maßnahmen ein dem Risiko der Datenübermitt- Im Rahmen der Transparenzpflichten hat der Verant- lung angepasstes Schutzniveau gewährleisten. Für die wortliche den Betroffenen gemäß Art. 13 Abs. 1 lit. Praxis bedeutet das, dass unkritische Daten unverschlüs- c) DSGVO bzw. gemäß Art. 14 Abs. 1 lit. c) DSGVO die

72 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 selt per Mail gesendet werden dürfen, weitergehende In- 7.7 IT-Konsolidierung Bund formationen müssen verschlüsselt übertragen werden. Mit dem Projekt „IT-Konsolidierung Bund“ soll die Gemäß dem seit 12. Dezember 2019 neu ins Gesetz ein- Arbeitsfähigkeit der Bundesregierung für die nächs- gefügten § 87a Absatz 1 Satz 3 2. Halbsatz Abgabenord- ten Jahre sichergestellt und ein effizienter IT-Betrieb nung (AO) ist ein unverschlüsselter E-Mail-Verkehr des gewährleistet werden. Die Einhaltung des Datenschut- Finanzamts mit Einwilligung aller Beteiligten zulässig. zes ist dabei eine grundlegende Anforderung, bei Ich halte diese Regelung jedoch für unvereinbar mit der deren Umsetzung dem BfDI eine große Verantwortung DSGVO und damit für EU-rechtswidrig. Eine Einwilli- zukommt. gung kann sich nicht auf die gesetzliche Verpflichtung Am 6. November 2019 hat das Bundeskabinett die Neu- zur Einhaltung der notwendigen technischen und orga- organisation der IT-Konsolidierung Bund verabschiedet nisatorischen Maßnahmen beziehen. Das liegt daran, und damit die bisherige Bündelung von Betriebskonsoli- dass die vom Verantwortlichen zu treffenden techni- dierung und Dienstekonsolidierung beim Bundesminis- schen und organisatorischen Maßnahmen nach Art. 32 terium des Inneren, für Bau und Heimat (BMI) aufge- DSGVO frei wählbar und damit nicht einwilligungsfähig hoben. Seitdem wird die Betriebskonsolidierung vom sind. Ich hatte bereits im Gesetzgebungsverfahren mei- Bundesministerium der Finanzen (BMF) verantwortet, ne Bedenken geäußert und ausdrücklich empfohlen, von während das BMI für die Dienstekonsolidierung zustän- der geplanten Neufassung des § 87a Absatz 1 Satz 3 AO dig ist. Zudem ist die BWI GmbH aus dem Dienstleister- abzusehen. Meine Stellungnahme vom 11. Oktober 2019 verbund ausgeschieden, so dass das ITZ Bund alleiniger findet sich auf meiner Internetseite unter der Rubrik Dienstleister der Bundesverwaltung ist. Die BWI kann Transparenz/Stellungnahmen des BfDI. aber als Unterauftragnehmer eingesetzt werden. Ich habe die Finanzverwaltungen von meiner Haltung Die Neuorganisation der Betriebskonsolidierung blo- in Kenntnis gesetzt. Für den Fall einer unverschlüssel- ckierte zunächst den Fortschritt des Gesamtprojekts und ten Datenübermittlung per E-Mail durch ein Finanzamt führte dazu, dass sich viele Teilprojekte der IT-Konsoli- behalte ich mir die Ausübung meiner Abhilfebefugnisse dierung verzögerten. Die fehlende Grundschutz-Zerti- vor. fizierung und Freigabe für Verschlusssachen der Stufe Die Interessen der Bürgerinnen und Bürger am Schutz „Nur für den Dienstgebrauch“ zentraler Rechenzentren ihrer personenbezogenen Daten und gleichzeitig des ITZ Bundes führten zu Verzögerungen bei Behör- an einer unkomplizierten Kommunikation mit dem denprojekten und IT-Maßnahmen. Die Unsicherheiten Finanzamt können gewahrt werden, indem die Finanz- hinsichtlich der Zukunft der BWI führten zum fast verwaltung sichere Kommunikationswege bereitstellt, vollständigen Erliegen der ursprünglich von der BWI wie dies andere Behörden und Privatunternehmen heute übernommenen Aufgaben. regelmäßig tun. Zurzeit können die Bürgerinnen und Im Laufe des vergangenen Jahres konnte die Diens- Bürger meistens nur zwischen einer unverschlüsselten tekonsolidierung den Rückstand aufholen und die digitalen Übermittlung und einer Sendung per Brief Betriebskonsolidierung schließt entsprechend auf. Die durch das Finanzamt wählen. Der Staat sollte nicht aus wichtigsten Projekte der Dienstekonsolidierung, d.h. die der Pflicht entlassen werden, die notwendigen tech- E-Akte Bund und die Bundescloud, können bereits durch nisch-organisatorischen Maßnahmen im Sinne von Art. die Behörden genutzt werden. 32 DSGVO zu treffen. Die in § 87a AO vorgesehene Ein- willigungslösung ist praktisch ungeeignet, das Problem Nach wie vor bezieht sich meine Beratungsaufgabe im der unverschlüsselten E-Mail-Kommunikation zu lösen. Projekt hauptsächlich auf das Teilprojekt 6 „Dienste- Die Einwilligung ist von erheblichen Unsicherheiten konsolidierung“. Dieses Teilprojekt beinhaltet mehrere geprägt, wie etwa von der Frage der Freiwilligkeit bis Maßnahmen wie den „Bundesclient“, die „Bundescloud“, hin zu möglicherweise betroffenen Rechten Dritter. Das das „Identity and Access Management“ und den „multi- Finanzamt trägt bei der Übermittlung das Risiko, dass funktionalen elektronischen Dienstausweis“. eine Einwilligung wirksam erteilt wurde und überhaupt Die „Bundescloud“ ist definiert als eine standardisierte, relevant ist. skalierbare Plattform für die Basis-, Querschnitts- und Bei Anfragen von Bürgerinnen und Bürgern rate ich re- Fachverfahren der IT des Bundes. Sie wird als private gelmäßig davon ab, einem Finanzamt eine Einwilligung Cloud in den Rechenzentren des Bundes betrieben. für unverschlüsselte E-Mail-Kommunikation zu erteilen. Die Bundescloud stellt für einige Pilotbehörden bereits Dienste bereit. Ich gehe davon aus, dass geplante IT-Verfahren für eine sichere Übermittlung durch die Finanzverwaltung zeit- Bei der Maßnahme „Bundesclient“ geht es um die Bereit- nah und datenschutzkonform umgesetzt werden. stellung eines bundesweit einheitlichen PC-Arbeitsplat-

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 73 zes bis Ende 2025 mit standardisiertem Betriebssystem triedaten übermittelt würden. Diese Telemetriestufe sowie Basis- und Querschnittsdiensten, wie z. B. E-Mail kann aber nur bei bestimmten Versionen von Windows und Anwendungen zur Dokumentenbearbeitung. Der 10 eingestellt werden, konkret bei den Enterprise- und Bundesclient wird planmäßig weiterentwickelt und fort- Education-Editionen. laufend durch das ITZ Bund getestet. Aktuelle Untersuchungen der DSK und die SiSyPHuS-Stu- Um die Projektleitungen der IT-Konsolidierung Bund die des Bundesamtes für Sicherheit in der Informations- langfristig bei den strategischen Entscheidungen zu un- technik (BSI) kamen aber zu dem Ergebnis, dass auch terstützen, war meine Mitarbeit in den entsprechenden eine entsprechende Konfiguration des Systems nicht Gremien erforderlich, etwa zur Architekturrichtlinie. sicher zu einem kompletten und vor allem dauerhaften Darüber hinaus stehe ich im regelmäßigen Austausch Ausschluss der Datenübermittlung führt. mit den Projektleitungen der Betriebskonsolidierung Die Aufsichtsbehörden sehen daher aktuell keine an- und Dienstekonsolidierung. dere Möglichkeit, als den für den Einsatz von Windows 10 Verantwortlichen aufzuerlegen, Maßnahmen zu 7.8 Microsoft, der Datenschutz und ergreifen, um eine Telemetriedatenübermittlung sicher zu unterbinden. Hierzu hat die DSK am 26. November die digitale Souveränität 2020 einen entsprechenden Beschluss gefasst (ebenfalls zu finden unter:www.bfdi.bund.de/beschlüsse-positions ​ Wie passen Windows 10, Microsoft 365, Datenschutz papiere). Konkret bedeutet dies, Verantwortliche müssen und digitale Souveränität zusammen? Diese Frage neben der Telemetriestufe Security zusätzlich mittels wurde von Datenschützern in den letzten Monaten vertraglicher, technischer oder organisatorischer Maß- kontrovers diskutiert. Am 14. Januar 2020 endete nahmen (z. B. durch eine Filterung der Internetzugriffe der Produktsupport für Windows 7. Damit stieg der von Windows-10-Systemen über eine entsprechende Inf- Druck, auf ein aktuelles Betriebssystems umzusteigen. rastruktur) sicherstellen, dass nachweislich keine Über- Immer mehr Bundesbehörden stellen ihre Systeme auf mittlung von Telemetriedaten an Microsoft stattfindet. Windows 10 um. Die zentrale Bereitstellung von Infra- strukturen und Diensten wird immer erfolgskritischer, Ich empfehle in meinem Zuständigkeitsbereich für den was cloudbasierte Angebote in den Fokus rückt. Einsatz von Windows 10 die Trennung des Betriebssys- Telemetriedaten kontra Datenschutz tems vom Internet, so wie sie in der Bundesverwaltung mit dem Bundesclient als Standardarbeitsplatz bis 2025 Bereits am 7. November 2019 veröffentlichte die Daten- vorgesehen ist. schutzkonferenz (DSK) eine Handreichung zum Daten- schutz bei Windows 10 (zu finden unter: www.bfdi.bund. Intensiver Dialog zu Windows 10 und MS 365 erforder- de/beschlüsse-positionspapiere). Verantwortliche sehen lich, auch perspektivisch sich beim Einsatz des Betriebssystems insbesondere mit der Frage konfrontiert, wie sich die Übermittlung Die skizzierten Entscheidungen basieren auf einem von Telemetriedaten an Microsoft datenschutzrechtlich intensiven Dialog mit Microsoft und einer gemeinsamen rechtfertigen lässt. Bewertung innerhalb der DSK. Dieser Austausch ist auch in Zukunft wichtig, um allgemeingültige und tragfähige Telemetriedaten sind technische Daten, die aus dem datenschutzrechtliche Handlungsempfehlungen ablei- System erhoben, an Microsoft übermittelt und analysiert ten zu können. werden. Hiermit will das Unternehmen die Stabilität des Systems überprüfen, Quellen für Fehler leichter ermit- Exemplarisch gilt dies auch für die aktuelle Diskussion teln und dadurch die Funktionalität des Systems verbes- um die rechtlichen Verbesserungspotenziale der Auf- sern. Telemetriedaten enthalten Identifikatoren, die es tragsverarbeitungsunterlagen von Microsoft im Kontext Microsoft ermöglichen, einen individuellen Nutzer auf MS 365. Im Ergebnis hat die DSK hier einige Defizite fest- einem individuellen Gerät und dessen Nutzungsmuster gestellt, beispielsweise bei der Festlegung, welche Daten wiederzuerkennen. Damit gelten sie als personenbezo- zu welchen Zwecken verarbeitet werden sollen, bei der gene Daten, die vom Datenschutz geschützt sind. Möglichkeit für Verantwortliche, technisch-organisato- rische Maßnahmen zum Schutz der personenbezogenen Die einfachste datenschutzrechtliche Lösung für das Daten zu prüfen oder bei den Informationen zu Unter- skizzierte Dilemma bestünde darin, die Verarbeitung auftragnehmern. Eine Arbeitsgruppe der DSK wird nun und Übermittlung von Telemetriedaten im Betriebssys- mit Microsoft in Kontakt treten, um zeitnah datenschutz- tem schlicht auszuschalten. Microsoft hatte gegenüber gerechte Nachbesserungen zu erzielen. Die Gespräche den Aufsichtsbehörden erklärt, dass zumindest bei der sollen auch dazu dienen, Anpassungen an die durch die Nutzung der Telemetriestufe „Security“ keine Teleme-

74 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Schrems II-Entscheidung des EuGH (vgl. Nr.4.3) aufge- Für viele gesellschaftliche Bereiche ist Künstliche zeigten Maßstäbe an die Übermittlung personenbezoge- Intelligenz (KI) heute bedeutend. Die potentiell großen ner Daten in die USA oder andere Staaten außerhalb der Auswirkungen von KI-Systemen auf alle Lebensbereiche Europäischen Union zu erreichen. erfordern deshalb klare Vorgaben und Regelungen. Ich bin der festen Überzeugung, dass KI- Anwendungen Digitale Souveränität in weiter Ferne einen hohen Mehrwert für eine moderne, digitale Ge- Die „digitale Souveränität“ hat sich als politische Zielvor- sellschaft erbringen. Darüber hinaus bin ich mir sicher, stellung mittlerweile etabliert, auch wenn hierbei keine dass sich der Fortschritt in diesem Bereich so gestalten einheitliche, konturenscharfe Definition Verwendung lässt, dass KI gleichzeitig datenschutzkonform und am findet. Im Kern geht es stets darum, die Abhängigkeiten Gemeinwohl orientiert sein kann. Ich engagiere mich zu einzelnen Hard- und Software-Anbietern zu verrin- aktiv in nationalen und internationalen Gremien, die gern und einer wachsenden Technologieabhängigkeit sich mit der KI-Entwicklung befassen, um an diesem entgegenzuwirken. Souverän sein zielt darauf ab, seine Gestaltungsprozess mitzuwirken. Rolle in der digitalen Welt selbständig, selbstbestimmt Transparenz und Nachvollziehbarkeit und sicher ausüben zu können. Ein souveräner daten- schutzrechtlich Verantwortlicher kann damit also frei Algorithmische Entscheidungsfindung kann als Grund- entscheiden, welche Handlungsoptionen er wählt, um lage einer KI z. B. einen enormen Mehrwert bei der die Datenschutzanforderungen sicher umzusetzen. Objektivierung von Entscheidungen schaffen. Je größer das Schädigungspotenzial von KI und Algorithmen ist, Die Beratungsgesellschaft PWC hat Ende 2019 für die umso mehr Anforderungen sind an ihren Einsatz zu stel- Bundesverwaltung eine strategische Marktanalyse zur len und umso mehr Kontrollmöglichkeiten sind vorzuse- Reduzierung von Abhängigkeiten zu einzelnen Soft- hen. Für den Bereich der KI spielt die Transparenz von ware-Anbietern vorgelegt. Gezeigt wurde, dass die Bun- Entscheidungen eine ganz wesentliche Rolle. desverwaltung in einem kritischen Maße von einzelnen Anbietern abhängig ist. Das gilt besonders für Microsoft, KI-Anwendungen müssen deshalb immer wieder von den dessen Produkte vielfach eingesetzt werden und die zuständigen Aufsichtsbehörden auf ihre Rechtmäßigkeit eng mit Fachanwendungen verknüpft sind. Es steht also geprüft werden, so dass Verstöße geahndet werden kön- nicht wirklich gut um die digitale Souveränität der deut- nen. Dafür müssen die Aufsichtsbehörden personell ge- schen Verwaltung.17 stärkt werden. Sie benötigen außerdem eine verbesserte technische Ausstattung und eine dauerhafte Fortbildung Um zukunftsfähige Modelle für die IT der öffentlichen des Personals, um die teils hochkomplexen KI-Systeme Verwaltung zu entwickeln, sind wir aus meiner Sicht gut und die dahinterstehenden Algorithmen bewerten zu beraten, hier den Blick zu weiten und auf Diversität so- können. Nur starke Datenschutzbehörden können eine wie Open Source zu setzen. Gerade der perspektivische starke unabhängige Kontrolle gewährleisten. Einsatz von neuen Cloud-Infrastrukturen kann hierbei ein wichtiger Wendepunkt werden und die Herstellerab- KI in nationalen und internationalen Gremien hängigkeit reduzieren. Im Sinne einer positiven Technikgestaltung möchte ich die Entwicklungen zur KI aktiv begleiten. Deshalb habe 7.9 Künstliche Intelligenz – ich mich daran beteiligt, eine Resolution zum Umgang mit der Nutzung von KI auf internationaler Ebene zu Fortschritte erarbeiten, die von der Global Privacy Assembly im Oktober 2020 erfolgreich verabschiedet wurde. Das Anwendungen der Künstlichen Intelligenz (KI) und Papier stellt die grundsätzlichen Anforderungen für die algorithmisch gesteuerte Entscheidungsprozesse Entwicklung und Nutzung von KI dar, die es benötigt, beherrschen aktuelle Entwicklungen in Wissenschaft, um den Rechenschaftspflichten nachzukommen. Ganz Forschung, Wirtschaft und Politik. Viele Lebensberei- maßgeblich sind hier die Aspekte Risikoabwägung, che werden zunehmend und fundamental durch die Transparenz, Überprüfbarkeit und Intervenierbarkeit. enormen Möglichkeiten geprägt, die uns KI eröffnet. Das Papier ist abrufbar unter: https://globalprivacyassembly. Unterdessen werden Schwächen und Risiken dieser org/wp-content/uploads/2020/11/GPA-Resolution-on- Systeme deutlich, die genauso thematisiert werden Accountability-in-the-Development-and-Use-of-AI-EN.pdf müssen wie ihre Potenziale.

17 Dies hat auch die DSK in ihrer Erschließung vom 22. September 2020 festgestellt (www.bfdi.bund.de/entschließungen).

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 75 Auch die Datenethikkommission (DEK) betont in ihrem Damit soll die Einhaltung der Verordnung gefördert Abschlussgutachten die herausragende Rolle des Da- und der Nachweis der Konformität erleichtert werden. tenschutzes auf dem Feld der KI. Die DEK gibt konkrete Erste Akkreditierungsanträge liegen bereits vor. Zertifi- Handlungsempfehlungen zur Gestaltung der digitalen zierungen sind im Laufe des Jahres 2021 zu erwarten. Zukunft in diesem Bereich. Als Mitglied der Kommission Die Artikel 42 und 43 der DSGVO enthalten Grundla- freue mich sehr darüber, dass dem Datenschutz dort gen und Rahmenbedingungen für die Schaffung eines eine zentrale Bedeutung zugemessen wurde. Zertifizierungsverfahrens im Bereich des Datenschutzes. Neben der DEK haben sich zahlreiche andere Gremien Die Mitgliedsstaaten gestalten konkrete Vorgaben, so mit dem Thema beschäftigt. So hat sich die Enquete dass nationale Besonderheiten berücksichtigt werden. Kommission des Bundestags mit Fragen zur KI, der Auf diese Weise werden verbindliche und unmittelbar in gesellschaftlichen Verantwortung und der wirtschaft- den EU-Mitgliedstaaten geltende Regelungen für Daten- lichen, sozialen und ökologischen Potenziale befasst. schutz-Zertifizierungen getroffen. Ich begrüße es sehr, dass die Entwicklungen rund um Keine Zertifizierung ohne Akkreditierung KI intensiv diskutiert und im Rahmen politischer und gesellschaftlicher Prozesse behandelt werden. Jetzt ist es Datenschutz-Zertifizierungen gemäß der Artikel 42 und 43 an der Zeit, dass hieraus die richtigen Schlüsse gezogen DSGVO darf nur erteilen, wer zuvor als Zertifizierungsstelle und geeignete Maßnahmen umgesetzt werden. Es darf akkreditiert wurde. Dieses mehrstufige System dient der nicht bei Empfehlungen bleiben. Qualitätssicherung und soll einen „Wildwuchs“ an Siegeln und Prüfzeichen verhindern. Für die Aufsichtsbehörden Der Mensch im Mittelpunkt ergeben sich dadurch eine ganze Reihe an neuen Aufgaben. Die Bundesregierung verfolgt die Strategie, dass Nach § 39 Bundesdatenschutzgesetz (BDSG) entscheiden Deutschland seinen Marktanteil im Bereich der KI zu- die zuständigen Datenschutzaufsichtsbehörden, ob eine künftig ausbaut. Bei der Umsetzung dieser Strategie und Stelle als Zertifizierungsstelle tätig werden darf. Das tun der begleitenden Projekte müssen KI-Anwendungen den sie auf Grundlage einer Akkreditierung durch die deutsche Menschen in den Mittelpunkt stellen und dabei die da- Akkreditierungsstelle (DAkkS) und im Einvernehmen mit tenschutzrechtlichen Vorgaben beachten. Beispielsweise dieser (vgl. § 4 Abs. 3 AkkStelleG). hat jede betroffene Person das datenschutzrechtlich verbürgte Recht, nicht ausschließlich Entscheidungen Die Akkreditierung ist ein sehr komplexer Prozess18. Er unterworfen zu sein, die auf automatisierten Verarbei- erfordert die Einhaltung festgelegter Kriterien. Diese tungen beruhen. Dieses Betroffenenrecht muss auch wurden von den unabhängigen Aufsichtsbehörden von tatsächlich umgesetzt werden können. Bund und Ländern im Arbeitskreis Zertifizierung, einer Untergruppe der Datenschutzkonferenz (DSK), erarbeitet. Gerade weil die technologischen Entwicklungen in Die Kriterien wurden nach ISO/IEC 17065/2012 mit einer diesem Bereich dynamisch und rasant verlaufen, ist eine speziellen Ausrichtung auf den Bereich des Datenschutzes fortwährende gesellschaftliche Debatte zur Anwendung entwickelt. Gemäß Art. 64 DSGVO wurden die Vorgaben bestimmter KI-Technologien erforderlich. Das Leitbild anschließend dem Europäischen Datenschutzausschuss der Debatte muss dabei eine menschenzentrierte KI sein. (EDSA) zur Stellungnahme vorgelegt. Dadurch soll euro- Datenschutz ist ein essentieller Erfolgsfaktor für KI-An- paweit möglichst viel Einheitlichkeit bei den Vorgaben wendungen. Ich setze mich dafür ein, dass Datenschutz erreicht werden, ohne dabei nationale Gegebenheiten zu in diesem Kontext nicht nur als notwendige, sondern vernachlässigen. auch als wertvolle Eigenschaft wahrgenommen wird. Wesentlich für die Akkreditierung einer Zertifizierungs- stelle ist außerdem das Vorliegen eines Zertifizierungs- 7.10 Zertifizierung und Akkreditie- programms, das entsprechende Zertifizierungskriterien enthält. Gemäß Art. 42 DSGVO müssen diese Kriterien rung – erste Verfahren starten genehmigt werden. Auf europäischer Ebene wurde diesbe- züglich eine Leitlinie erarbeitet.19 Der Arbeitskreis Zertifi- Mit der Datenschutz-Grundgrundverordnung (DSGVO) zierung hat sich bei der Ausgestaltung von Orientierungs- wird in den Artikeln 42 und 43 die datenschutzspezifi- vorgaben für die nationalen Prozesse eng daran orientiert. sche Zertifizierung auf europäischer Ebene eingeführt.

18 Eine Übersicht der einzelnen Prozessschritte des Akkreditierungsprozesses finden Sie unter: https://www.dakks.de/content/projekt-datenschutz

19 Die Guideline 1/2018 in der Version vom 4. Juni 2019 finden Sie unter:https://www.bfdi.bund.de/edsa-guidelines

76 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Das Zertifizierungsverfahren 7.11 Videoidentverfahren: Aktuelle Ist im Rahmen einer erfolgreichen Akkreditierung die Grundsatzentscheidung des BfDI sogenannte „Befugniserteilung“ durch die zuständige mit Ausstrahlwirkung für viele Aufsichtsbehörde erfolgt, kann die Zertifizierungsstelle Bereiche auf der Grundlage ihres Zertifizierungsprogramms tätig werden. Hierbei ist wichtig, dass die Qualitätssicherung Videoidentifizierungsverfahren sind risikobehaftet. Wo fortlaufend gewährleistet ist. Notfalls kann eine Zertifi- ein sehr hohes Vertrauensniveau erreicht werden muss, zierungsstelle gemäß Art. 58 DSGVO von der zuständigen sind sie datenschutzrechtlich sogar unzulässig. Aufsichtsbehörde jederzeit angewiesen werden, keine In der Vergangenheit habe ich mehrfach, zuletzt in mei- Zertifizierungen mehr zu erteilen, wenn die Vorausset- nem 27. TB, auf die Risiken hinsichtlich der Durchfüh- zungen dafür nicht oder nicht mehr vorliegen. rung von Identifizierungen per Video-Chat hingewiesen. Den Aufsichtsbehörden ist es grundsätzlich freigestellt, Bedingt auch durch die Corona-Pandemie bin ich nach selbst Zertifizierungen zu erteilen. Eine Akkreditierung der datenschutzrechtlichen Zulässigkeit von Videoidenti- benötigen sie in diesem Fall nicht. Meine Behörde wird fizierungsverfahren gefragt worden, da diese eine Identi- keine eigenen Zertifizierungen anbieten, wie – nach fizierung ohne persönlichen Kontakt ermöglichen. aktuellem Stand – auch die Mehrheit der Aufsichtsbe- Videoidentifizierungen werden in vielen unterschied- hörden der Länder. Ich bin sicher, dass eine lebendige lichen Lebensbereichen durchgeführt, insbesondere Landschaft an zertifizierten Akkreditierungsstellen bei der Eröffnung von Online-Bankkonten oder beim entstehen wird. Abschluss von Mobilfunkverträgen. Zunehmend wird Über die Zertifizierungen auf nationaler Ebene hinaus überlegt, Videoidentifizierung auch in Bereichen ein- besteht auch die Möglichkeit, ein Europäisches Daten- zuführen, in denen die Identifizierung ein sehr hohes schutzsiegel zu erlangen. Die diesbezüglichen Kriterien Vertrauensniveau erfüllen muss. Beispielsweise zum müssen vom EDSA gebilligt werden. Die europaweit Schutz besonders schutzbedürftiger Kategorien von per- zugelassenen Zertifizierungsverfahren sollen anschlie- sonenbezogenen Daten nach Artikel 9 DSGVO, wie etwa ßend in einer zentralen Liste geführt werden. Die we- im Gesundheitswesen. sentlichen Prozessschritte wurden zwischenzeitlich vom Diesen sehr hohen Schutzbedarf können Videoiden- EDSA verabschiedet, weitere Details werden nach und tifizierungen nicht gewährleisten. Zunehmend sind nach konkretisiert.20 täuschend echt wirkende Audio- und auch Videomanipu- Zertifizierung als Qualitätsmerkmal lationen, sogenannte Deepfakes, zu beobachten. In einer Antwort der Bundesregierung auf eine Kleine Anfrage Verlässliche und transparente Verfahren für die Akkre- (BT-Drs. 19/15657) heißt es zu diesem Thema: „Die Ar- ditierung und die Zertifizierung sind eine zwingende beitseinheiten in den Abteilungen „Digitale Gesellschaft; Voraussetzung für einen glaubwürdigen Nachweis, dass Verwaltungsmodernisierung und Informationstechnik“ die DSGVO bei Verarbeitungsvorgängen von Verantwort- und „Öffentliche Sicherheit“ beschäftigen sich mit dem lichen oder Auftragsverarbeitern eingehalten wird. Gera- Thema im Kontext der Fernidentifizierung. Durch den de deshalb wurde sowohl auf nationaler als auch auf Einsatz von Deepfakes ist es möglich, videobasierte europäischer Ebene besonderer Wert auf eine fundierte Verfahren zu manipulieren. Beispielsweise kann eine zu Ausgestaltung der Prozesse gelegt. Mein Ziel ist es, auf identifizierende Person eine andere Person auf einem dieser Grundlage künftig vertrauenswürdige Siegel zu gestohlenen Ausweisdokument imitieren.“ schaffen. Zertifizierter Datenschutz wird so zu einem objektiven Qualitätsmerkmal. Grundsätzlich sind bei der Beurteilung der datenschutz- rechtlichen Zulässigkeit von Videoidentifizierungsver- fahren mehrere Fragen zu berücksichtigen: Für welchen Zweck sollen sie vorgenommen werden, welche Gefähr- dungslagen gibt es und welcher Schutzbedarf besteht? Zudem sind die möglichen Folgen für die Betroffenen bei der Bewertung der Zulässigkeit heranzuziehen und die Frage zu klären, wie die Betroffenen gegen die entstehenden Risiken (z.B. einem Identitätsdiebstahl)

20 Das Dokument des EDSA vom 28. Januar 2020 finden Sie unter:www.bfdi.bund.de/edsa-dokumente

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 77 abgesichert sind. Orientierung bietet das Standarddaten- schutzmodell (zu finden unter: www.bfdi.bund.de/sdm) Mit einem Angemessenheitsbeschluss wird in einem mit den Schutzbedarfsstufen „normal“, „hoch“ und „sehr festgelegten Verfahren von der Europäischen Kommis- hoch“. Hinsichtlich von Identifizierungen, für die die sion festgestellt, dass ein Drittland ein dem Unionsrecht Schutzbedarfsstufe „sehr hoch“ erreicht werden muss, angemessenes Datenschutzniveau bietet. Bei Vorliegen lehne ich Videoidentifizierungsverfahren ausnahmslos des Beschlusses bedürfen Datenübermittlungen in Dritt- ab. länder keinen besonderen Genehmigungen. In den übrigen Fällen ist anhand von Datenschutzfolgen- abschätzungen die datenschutzrechtliche Zulässigkeit einer Videoidentifizierung zu prüfen, insbesondere im Hinblick auf die potentiellen Risiken für die Betroffe- 7.13 Neue Entwicklungen in der nen. Sofern es möglich ist, durch flankierende techni- Forschung mit Gesundheitsdaten sche und organisatorische Maßnahmen die Risiken der Verarbeitungstätigkeit auf ein angemessenes und somit Forschung mit Gesundheitsdaten ist von erheblicher verantwortbares Niveau zu verringern, könnten Video­ gesellschaftlicher Bedeutung. Der „neue Trend“ zur identifizierungsverfahren datenschutzrechtlich zulässig verpflichtenden Datensammlung auf gesetzlicher Basis sein. führt zu nachvollziehbaren Vorbehalten. Ich plädiere – auch auf EU-Ebene – für Forschung mit einer Einwilli- gung der Betroffenen. 7.12 Folgen des Brexit Auf EU-Ebene wurden die Leitlinien 3/2020 für die Der vorgesehene Übergangszeitraum im Austrittsab- Verarbeitung von personenbezogenen Gesundheitsdaten kommen zwischen der Europäischen Union und dem zu wissenschaftlichen Forschungszwecken im Zusam- Vereinigten Königreich endete am 31. Dezember 2020. menhang mit dem COVID-19-Ausbruch verabschiedet. Das nunmehr seit dem 1. Januar 2021 geltende -Handels- Parallel dazu werden derzeit vom EDSA Leitlinien und Kooperationsabkommen sieht eine weitere, maxi- zur Verarbeitung von personenbezogenen Daten für mal sechsmonatige, Übergangsregelung für Datenüber- Forschungszwecke erarbeitet, die Aussagen zur For- mittlungen vor. schung mit Gesundheitsdaten enthalten und sich mit der Frage der Rechtsgrundlage und der Betroffenenrechte Am 31. Dezember 2020 endete der Übergangszeitraum, auseinandersetzen sollen. In der EU gibt es mehrere in dem das Vereinigte Königreich zwar nicht mehr Mit- Mitgliedsstaaten, die die Zulässigkeit von Forschung mit glied der Europäischen Union (EU) war, aber das Recht Gesundheitsdaten unmittelbar durch Gesetze regeln. der EU und die Datenschutz-Grundverordnung (DSGVO) Nicht abschließend geklärt ist bisher die Reichweite der noch angewendet wurden. Das kurz vor Ablauf des Über- Regelung in Artikel 5 Abs. 1 lit. b), 2. Halbsatz DSGVO: gangszeitraums ausverhandelte Handels- und Koopera- Unter welchen Voraussetzungen kann der Zweck For- tionsabkommen21 sieht nunmehr eine Übergangsrege- schung vereinbar sein mit dem Zweck, zu dem die Daten lung für Datenübermittlungen an Verantwortliche und ursprünglich erhoben wurden? Auftragsverarbeiter im Vereinigten Königreich vor. Wenn beispielsweise der deutsche Gesetzgeber gesetz- Danach sollen Übermittlungen personenbezogener liche Grundlagen für die Nutzung von Gesundheitsda- Daten von der EU in das Vereinigte Königreich für eine ten zu Forschungszwecken vorsehen möchte, so bin Übergangsperiode nicht als Übermittlungen in ein Dritt- ich der Auffassung, dass es dem Schutz der sensiblen land (Art. 44 DSGVO) angesehen werden. Diese Periode und besonders zu schützenden Gesundheitsdaten am endet, wenn die EU-Kommission das Vereinigte König- ehesten gerecht wird, wenn dieses Gesetz eine Einwil- reich betreffende Angemessenheitsbeschlüsse getroffen ligung der Betroffenen als Zulässigkeitsvoraussetzung hat, spätestens jedoch nach vier Monaten. Dieses End- enthält. Wenn, wie bislang in Deutschland üblich, die datum kann um zwei Monate verlängert werden, falls Einwilligung der Betroffenen die Rechtsgrundlage für keine der beteiligten Parteien widerspricht. die Datenverarbeitung zu Forschungszwecken darstellt, ist - soweit das Forschungsvorhaben und damit der Ver- arbeitungszweck (noch) nicht abschließend beschrieben werden können - , eine sog. breite Einwilligung (broad

21 https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:22020A1231(01)&from=EN (zuletzt abgerufen am 6.1.2021)

78 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 consent) grundsätzlich möglich. Hierbei sind bestimmte die freiwillige und informierte Einwilligung der Betroffe- Schutzmaßnahmen der verantwortlichen forschenden nen zumindest als Tatbestandsmerkmal festgeschrieben Stellen erforderlich, welche die Konferenz der unab- wird. Wenigstens ist ein umfassendes Widerspruchs- hängigen Datenschutzbeauftragten des Bundes und der recht vor Verarbeitung der eigenen personenbezogenen Länder in einem Beschluss aus dem Jahr 2019 konkreti- Gesundheitsdaten zu Forschungszwecken unabdingbar, siert hat. Diese zusätzlichen Maßnahmen werden auch das über die Möglichkeiten von Art. 21 DSGVO weit auf europäischer Ebene derzeit diskutiert. hinausgeht.

National wurde das Forschungsdatenzentrum zur Da- Querverweise: tentransparenz auf gesetzlicher Grundlage wesentlich 4.2 Patientendaten-Schutz-Gesetz, 5.7 Datentransparenz- erweitert, bedauerlicherweise ohne eine Einwilligung verordnung, 7.3 Register im Gesundheitsbereich oder zumindest eine allgemeine, voraussetzungslose Widerspruchsmöglichkeit der Betroffenen vorzusehen. In Deutschland entstehen immer mehr Register, die me- 7.14 Berichtigung von Diagnose- dizinische personenbezogene Daten für die Forschung daten zur Verfügung stellen. Selbst wenn die Datenverarbei- tung auf gesetzlicher Grundlage erfolgt, halte ich es für Bei unrichtigen Diagnosedaten hilft den Versicherten geboten, dass die Betroffenen zusätzlich – als Teil der eine Ergänzung des nationalen Rechts, ihr durch die Rechtsgrundlage – in die Nutzung ihrer Gesundheits- DSGVO garantiertes Recht auf Berichtigung unrichtiger daten für Forschungszwecke einwilligen müssen. Dann Daten gegenüber den Krankenkassen durchzusetzen. können sie selbst entscheiden, ob ihre personenbezoge- Im Berichtszeitraum erreichten mich zahlreiche Be- nen Gesundheitsdaten für die Forschung zur Verfügung schwerden von Versicherten, die Anhaltspunkte dafür gestellt werden. Denn die standardmäßige Pseudonymi- hatten, dass ihre Krankenkasse falsche Diagnosedaten sierung und Verschlüsselung der Daten kann meist kei- über sie gespeichert hatte. Einer Abhilfe dieses daten- nen absoluten Schutz vor einer Reidentifikation bieten. schutzwidrigen Zustands stand § 303 Absatz 4 SGB V Je mehr Daten zu einem „Fall“ im Register vorliegen, entgegen. Danach ist für den Fall, dass Datenübermitt- desto größer ist diese Gefahr. Umso wichtiger sind zu- lungen zu Diagnosen nach den §§ 295 und 295a SGB V sätzliche Verfahren wie die Aggregierung, die Forschung fehlerhaft oder unvollständig sind, eine erneute Über- auf verschlüsselten Daten oder die „differential privacy“. mittlung in korrigierter oder ergänzter Form nur im Zudem ist die Möglichkeit der Forschung an anonymi- Falle technischer Übermittlungs- oder formaler Daten- sierten Daten vorrangig zu prüfen. Soweit beispielsweise fehler zulässig. Künstliche Intelligenz einbezogen ist, sollte auch die Möglichkeit der Forschung an synthetischen Datensät- Der mit dem Heil- und Hilfsmittelversorgungsgesetz zen, die keinen Bezug zu Personen aufweisen, berück- vom 4. April 2017 geschaffene § 303 Absatz 4 SGB V sichtigt werden. verfolgt das Ziel, die unzulässige Praxis diverser Kran- kenkassen zu unterbinden. Diese könnten ansonsten Eine einwilligungsbasierte Konzeption liegt der zukünf- nachträglich Einfluss auf Diagnosen nehmen, um tig möglichen Freigabe der Daten aus der elektronischen dadurch die finanziellen Zuweisungen aus dem Risiko- Patientenakte für das Forschungsdatenzentrum nach strukturausgleich zu erhöhen (sog. Upcoding, vgl. 22. § 363 Abs. 1 bis 7 SGB V zugrunde. In vielen Fällen stellt TB, Nr. 10.2.3). Diese begrüßenswerte Zielsetzung führte die Einwilligung der Betroffenen die Rechtsgrundlage dazu, dass nicht mehr nur unzulässige Diagnosekor- für auch umfassende Forschungsvorhaben, wie z. B. rekturen durch die Krankenkassen verhindert werden, die Nationale Kohorte oder die Medizininformatikini- sondern die Versicherten keine Möglichkeit mehr tiative dar. Es hat nicht nur in Deutschland Tradition, hatten, eine Korrektur ihrer unrichtig gespeicherten dass Forschung am Menschen freiwillig sein muss. Diagnosedaten durchzusetzen. Diese Beschneidung von Letztlich gehört dieses Recht auch zu den anerkannten Versichertenrechten steht im Widerspruch zu Art. 16 Da- ethischen Standards im Forschungsbereich, auf die auch tenschutz-Grundverordnung (DSGVO). Die Norm verleiht die DSGVO verweist. Diese grundsätzliche Freiwilligkeit der betroffenen Person das Recht, von dem Verantwort- der Forschung kann dadurch konterkariert werden, dass lichen unverzüglich die Berichtigung sie betreffender mit sensiblen personenbezogenen Gesundheitsdaten unrichtiger personenbezogener Daten zu verlangen. geforscht wird, ohne dass die Betroffenen sich dagegen wehren können. Ich habe den Gesetzgeber auf die Unvereinbarkeit der nationalen Rechtslage mit dem höherrangigen europäi- Daher ist auch bei den zukünftig zu schaffenden Regis- schen Recht und die Notwendigkeit einer Rechtsanpas- tern auf gesetzlicher Grundlage darauf zu achten, dass sung hingewiesen. Mit einer Ergänzung des § 305 SGB V,

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 79 eingefügt durch das PDSG (s. 4.2), hat der nationale Nachfragen bei Versicherten zulässig sein. Diese müssen Gesetzgeber diesen dringenden Hinweis aufgegriffen. mit der Prüfung der formalen Leistungsvoraussetzungen Nach Absatz 1 Satz 6 dieser Norm haben die Kranken- in unmittelbarem Zusammenhang stehen. In Betracht kassen auf Antrag der Versicherten abweichend von kommen nur Fragen nach einer voraussichtlichen § 303 Absatz 4 SGB V Diagnosedaten, die ihnen nach den Anschluss-AU oder nach geplanten diagnostischen/the- §§ 295 und 295a SGB V übermittelt wurden und deren rapeutischen Maßnahmen, die einer Arbeitsaufnahme Unrichtigkeit durch einen ärztlichen Attest belegt wird, entgegenstehen. in berichtigter Form bei der Unterrichtung nach Satz 1 Für generell unzulässig erachte ich (fern-)mündliche („Versichertenauskunft“) und bei der Übermittlung nach Versichertenanfragen. An mich gerichtete Versicher- den Sätzen 2 und 3 (einwilligungsbasierte Übermittlung tenbeschwerden zeigen, dass insbesondere die telefoni- der Versichertenauskunft an Dritte) zu verwenden. Die- schen Versichertenanfragen von einigen Krankenkassen sen Antrag haben die Krankenkassen innerhalb von vier wiederholt zu unkontrollierten, teilweise druckerhöhen- Wochen nach Erhalt des Antrags zu bescheiden. den Datenerhebungen genutzt werden. Mir wurde von Ich gehe davon aus, dass die Regelung den Versicherten unzulässigen Fragen zur gesundheitlichen und fami- die Durchsetzung ihres Rechts auf Berichtigung nach liären Situation, sozialen Problemen oder Details aus § 16 DSGVO ermöglicht. Ich werde die praktische Umset- Reha- oder Krankenhausentlassungsberichten sowie den zung des § 305 Absatz 1 SGB V im folgenden Berichtszeit- Überredungsversuchen zu einem Krankenkassenwech- raum daher aufmerksam beobachten. sel berichtet.

Querverweis: Gespräche mit dem GKV-Spitzenverband und dem BMG erbrachten kein gemeinsames Verständnis zum Umfang 4.2 Patientendaten-Schutz-Gesetz der Datenerhebungsbefugnisse der Krankenkassen vor einer Beauftragung des MD. Deshalb werde ich die 7.15 Das Krankengeldfallmanage- zurückgestellten Beschwerdeverfahren nach Art. 77 Datenschutz-Grundverordnung wieder aufnehmen und ment – Kein Konsens über den die Einhaltung der gesetzlichen Vorgaben mit aufsichts- Umfang der Datenerhebungs- rechtlichen Mitteln durchsetzen. befugnisse der Krankenkassen Die Gespräche mit dem Spitzenverband Bund der Kran- 7.16 Zuständigkeitsaufteilung im kenkassen (GKV-Spitzenverband) und dem Bundesmi- Bereich Telekommunikation nisterium für Gesundheit (BMG) über eine datenschutz- konforme Gestaltung der „Begutachtungsanleitung Datenschutzaufsicht und -kontrolle gehören auch im Arbeitsunfähigkeit“ konnten (noch) nicht abgeschlos- Bereich der Telekommunikationsdienstleistungen sen werden. in eine Hand. Die bisherige Zuständigkeitsverteilung zwischen der Bundesnetzagentur und mir hat sich in Die Richtlinie „Begutachtungsanleitung Arbeitsun- der Praxis als wenig zielführend erwiesen. Dem BfDI fähigkeit“ ermöglicht den Krankenkassen und den sollten beide Kompetenzen übertragen werden. Medizinischen Diensten der Krankenkassen (MD), Arbeitsunfähigkeitsfälle ihrer Versicherten strukturiert Die aktuelle Zuständigkeitsverteilung zwischen der zu begutachten. Dadurch wird der Erhalt der Arbeits- Bundesnetzagentur (BNetzA) und mir ist nach wie vor bzw. Erwerbsfähigkeit gefördert. Zahlreiche Beschwer- reformbedürftig. Nach aktueller Rechtslage verfüge ich den von Versicherten, aber auch meine Kontrollen bei über keine Befugnisse zur Durchsetzung der Daten- Krankenkassen, zeigen wiederholt, dass das Verständnis schutzvorschriften des Telekommunikationsgesetzes einzelner Krankenkassen von ihren aus den Richtlinien (TKG). Vielmehr soll ich meine Beanstandungen an abgeleiteten Befugnissen über die gesetzlichen Regelun- die BNetzA übermitteln. Diese Regelung steht nicht gen weit hinausgeht. im Einklang mit dem europäischen Primärrecht. Die Einhaltung der Vorschriften über den Datenschutz muss So sind die Krankenkassen beim Vorliegen von Zweifeln gemäß Art. 8 Abs. 3 Grundrechte-Charta endlich auch an der Arbeitsunfähigkeit (AU) nach § 275 Abs. 1 Nr. 3 b) in Deutschland von unabhängigen Behörden überwacht SGB V verpflichtet, eine Stellungnahme des MD einzuho- werden (vgl. auch 28. TB Nr. 5.2). Daher empfehle ich len. Dies ermächtigt sie jedoch nicht, zusätzliche Daten dem Gesetzgeber im Rahmen des neuen Gesetz über zur Erhärtung oder Beseitigung der Zweifel zu erheben. den Datenschutz und den Schutz der Privatsphäre in der Soweit dies im Einzelfall erforderlich ist, können auf elektronischen Kommunikation und bei Telemedien so- Grundlage des § 284 Abs. 1 Nr. 4 SGB V im besten Fall wie zur Änderung des TKG, des Telemediengesetzes und

80 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 weiterer Gesetze (TTDSG) dringend, eine eindeutige und Dieser allgemeine Hinweis ersetzt nicht die gemäß Art. einheitliche Regelung der Zuständigkeit für die Überwa- 34 Abs. 1 Datenschutz-Grundverordnung (DSGVO) erfor- chung der Einhaltung des Schutzes personenbezogener derliche Benachrichtigung der betroffenen Personen. Daten zu schaffen (vgl. auch Nr. 5.10). Die Zuständigkeit Bei diesem Cyber-Angriff sind in neun Fällen die Vor- muss einheitlich sein, unabhängig davon, ob dieser und Zunamen sowie teilweise die privaten E-Mail- Schutz aus der Datenschutz-Grundverordnung, dem Adressen und Bankverbindungen offengelegt worden. Bundesdatenschutzgesetz oder dem Fernmeldegeheim- In einem weiteren Fall sind zudem der Vor- und Zuname nis (bisher in § 88 ff. TKG geregelt) stammt. Die bisherige einer Person in einem Kontext offenbart worden, der auf Verwaltungspraxis hat oft erst nach unverhältnismäßig eine Langzeiterkrankung dieser Person schließen lassen langer Zeit und manchmal gar nicht zum Erfolg geführt. könnte. Hierbei handelt es sich um Gesundheitsdaten im Und es liegt hauptsächlich daran, dass ich Verstöße der Sinne des Art. 9 Abs. 1 DSGVO. Unternehmen gegen das TKG nicht selbst verfolgen, son- dern lediglich gegenüber der BNetzA beanstanden kann. Ich habe darauf hingewirkt, dass die BImA die betroffe- nen Personen gemäß Art. 34 Abs. 1 DSGVO benachrich- Dies ist für alle Betroffenen mehr als unbefriedigend. tigt. Nur durch eine klare und ausschließliche Zuweisung der Datenschutzaufsicht an meine Behörde können Betrof- fene von einheitlichen Prüfungen der Unternehmen und, wenn notwendig, auch Ahndungen im Sinne der Datenschutzvorschriften ausgehen.

Querverweis:

5.10 Aktuelle Gesetzgebung und sonstige Regelungen im Telekommunikationsbereich

7.17 Cyber-Angriff auf die Bundes- anstalt für Immobilienaufgaben

Die Veröffentlichung einer Information über einen Angriff der Schadsoftware Emotet auf der Internetseite einer betroffenen Behörde ersetzt nicht die Benachrich- tigung der betroffenen Personen, wenn personenbezo- gene Daten abgeflossen sind.

Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persön- lichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung (Art. 34 Abs. 1 DSGVO).

Im Dezember 2019 wurde die Bundesanstalt für Immo- bilienaufgaben (BImA) durch die Schadsoftware Emotet angegriffen. Der Software gelang es, mehrere Computer von BImA-Beschäftigten zu befallen. Die BImA hat am 19. Dezember 2019 auf ihrer Internetseite eine Presse- mitteilung mit dem Hinweis veröffentlicht, es könne nicht ausgeschlossen werden, dass auch personenbezo- gene Daten abgeflossen seien.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 81 8 Informationsfreiheitsgesetz

8.1 Einzelthemen desministerium für Gesundheit (BMG) und das Robert Koch-Institut (RKI). Obgleich es sich hier um eine Auswahl handelt, zeigen die für diesen Bericht ausgewählten Einzelthemen aus Zu Beginn der Pandemie waren auch die Modalitäten der meiner Beratungs- und Vermittlungstätigkeit zum Infor- Rückholaktion des Auswärtigen Amtes Gegenstand von mationsfreiheitsgesetz (IFG), wie breit das inhaltliche Anträgen und Anrufungen. Mit Fortschreiten der pan- Spektrum der Anfragen und damit das der Interessen demischen Lage ging es zunehmend um Informationen der antragstellenden Personen ist. zu Fallzahlen, zur Ausgestaltung der Testmöglichkeiten, zur Amtshilfe durch andere Behörden oder auch um 8.1.1 Informationsfreiheit in der Pandemie Lageberichte der Bundesregierung und des Bundesmi- nisterium des Inneren, für Bau und Heimat (BMI). Die Die Corona-Pandemie war Gegenstand von Vermitt- IFG-Eingaben zur Corona-Warn-App erreichten mich zur lungsverfahren und von an mich gerichteten Anträgen Jahresmitte. nach dem Informationsfreiheitsgesetz (IFG). Der mit über 1000 gleichartigen IFG-Anträgen einer Die Entwicklung der Pandemie ließ sich auch im Auf- Antragstellerin wohl aufkommensstärkste Informations- kommen und an den Inhalten der Anrufungen nach- wunsch betraf die „Einsparungen im Geschäftsbetrieb vollziehen, die mich erreichten. Ein Großteil dieser Beschwerden bezog sich auf IFG-Anträge an das Bun-

82 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 der Bundesbehörden durch die pandemische Lage“ und freiheitsgesetz (IFG) enthalte. Das BMWi gab daraufhin lautete: dem Antrag des Petenten nur teilweise statt.

„Wie hoch waren die Einsparungen im laufenden Ge- Nachdem er erfolglos Widerspruch eingelegt hatte, schäftsbetrieb durch die COVID-19-Krise vom März bis wandte sich der Petent im IFG-Ombudsverfahren an Mai 2020 für mich. Er vertrat die Ansicht, dass bei der Auslegung die Richtlinie (EU) 2016/943 vom 8. Juni 2016 zum Schutz → den laufenden Geschäftsbetrieb, z.B. für Strom, Was- von Geschäftsgeheimnissen heranzuziehen sei, die in ser, Papier etc. durch Deutschland durch das Geschäftsgeheimnisgesetz (Ge- → die Anordnung/ Wahrnehmung von Homeoffice-Re- schGehG) vom 18. April 2020 umgesetzt wurde. Ein Ge- gelungen schäftsgeheimnis muss nach Artikel 2 Nr. 1 c der Richtli- nie bzw. nach § 2 Nr. 1 lit. b GeschGehG „Gegenstand von → die Absage von Veranstaltungen und Dienstreisen den Umständen nach angemessenen Geheimhaltungs- → die Einsparungen durch Verringerungen von Wach- maßnahmen durch ihren rechtmäßigen Inhaber“ sein. und Schutzleistungen Der Petent argumentierte, das Unternehmen habe auf angemessene Geheimhaltungsmaßnahmen verzichtet. → sonstige Einsparungen? Denn es habe die Stellungnahme selbst, freiwillig und Dabei reichen mir ungefähre Zahlen, um hier einen aus eigener Initiative an das BMWi geschickt und dieses Eindruck zu gewinnen.“ auch nicht zum Schweigen verpflichtet. „Betriebs- oder Geschäftsgeheimnisse“ i.S.v. § 6 IFG lägen somit nicht Da die begehrten Informationen bei den angeschriebe- vor. nen Stellen oftmals nicht vorlagen, war das Ergebnis für die Antragstellerin hier unergiebig. Angemessene Geheimhaltungsmaßnahmen sind nach bisherigem Verständnis kein Merkmal von Betriebs- und Oftmals wandten sich Antragsteller an mich, weil die Geschäftsgeheimnissen. Da im IFG eine Definition fehlt, Monatsfrist des § 7 Abs. 5 Satz 2 IFG zur Entscheidung wurde der Begriff mit Blick auf den verfassungsrecht- über den Informationszugang überschritten wurde. lichen Schutz unternehmerischer Tätigkeit entwickelt. Sofern dies, wie insbesondere von dem durch die Be- Als Betriebs- und Geschäftsgeheimnisse werden da- wältigung der Pandemie extrem stark belasteten RKI, nach „alle auf ein Unternehmen bezogene Tatsachen, aber auch vom BMG mit dem außergewöhnlich hohen Umstände und Vorgänge verstanden, die nicht offen- Arbeitsaufkommen schlüssig begründet werden konnte, kundig, sondern nur einem begrenzten Personenkreis habe ich die Antragsteller um Verständnis für diese zugänglich sind und an deren Nichtverbreitung der extreme Ausnahmesituation gebeten. Ich hoffe aber, Rechtsträger ein berechtigtes Interesse hat“ (vgl. BVerfG dass eine zeitnahe Bearbeitung in zunehmenden Maße 14.03.2006 – 1 BvR 2087/03, 1 BvR 2111/03, Rn. 87). möglich sein wird. Der Petent hatte nun die Rechtsfrage aufgeworfen, ob IFG-Anträge zum Thema „Corona“ wurden auch an mein das neue GeschGehG die Auslegung von „Betriebs- oder Haus gestellt. Das Interesse der Petenten richtete sich Geschäftsgeheimnissen“ in § 6 IFG verändert hatte. Die hier insbesondere auf meine Begleitung von Gesetzge- Bestimmungen zum Anwendungsbereich (vgl. § 1 Abs. 2, bungsverfahren und auf meine Einschätzungen zu Maß- Abs. 3 Nr. 2 GeschGehG und Art. 1 Abs. 2 lit. a, b Richtli- nahmen wie etwa der Corona-Warn-App, zu digitalen An- nie (EU) 2016/943) sprechen dagegen. Auch nach der Ge- geboten des BMG oder der sogenannten Aussteigekarte. setzesbegründung soll das Gesetz nicht anwendbar sein „auf Informationsansprüche gegen staatliche Stellen, öf- 8.1.2 Was ist eigentlich ein Geschäftsgeheimnis? fentlich-rechtliche Vorschriften zur Geheimhaltung von Auswirkungen des neuen Geschäftsgeheimnisgesetzes Geschäftsgeheimnissen oder Verschwiegenheitspflichten auf die Informationsfreiheit für Angehörige des öffentlichen Dienstes“ (BT-Drucks. 19/4724, zu § 1 Absatz 2 - S. 23). Gleichwohl ist die Frage Ein Petent hatte beim Bundesministerium für Wirtschaft in der juristischen Diskussion umstritten. und Energie (BMWi) beantragt, ihm alle Dokumente zum geplanten Digital Services Act der EU zu übersen- Die Frage konnte im betreffenden Vermittlungsver- den. Dabei bezog er insbesondere die Korrespondenz fahren letztlich offen bleiben Das Ministerium machte mit Interessenvertretern ein. Ein Unternehmen, das zu plausibel, dass die Information Rückschlüsse auf die dem Rechtsetzungsprojekt eine Stellungnahme abgege- Marktstrategie des Unternehmens zulasse und daher ben hatte, widersprach im Rahmen der Drittbeteiligung wettbewerbsrelevant sei. Es wies auf die Verschwiegen- einer Offenlegung, da das Schreiben „Betriebs- oder Ge- heitspflichten seiner Beschäftigten hin, die auch ohne schäftsgeheimnisse“ im Sinne von § 6 S. 2 Informations- spezielle Vertraulichkeitsvereinbarungen gelten (z.B.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 83 § 67 Abs. 1 Bundesbeamtengesetz). Durch die Übermitt- Eine Antragstellerin beantragte beim Bundesamt für lung an das BMWi sei die Information daher nicht offen- Migration und Flüchtlinge (BAMF) gestützt auf das In- kundig geworden. Diese Sicht wird durch Erwägungs- formationsfreiheitsgesetz (IFG) die Übersendung eines grund 18 der Richtlinie (EU) 2016/943 gestützt. Danach Auszugs aus dem nach Art. 30 Datenschutz-Grundver- soll eine Übermittlung von Geschäftsgeheimnissen an ordnung (DSGVO) zu erstellenden Verzeichnis von Ver- Behörden, diese „nicht von ihrer Pflicht zur Geheimhal- arbeitungstätigkeiten. Das BAMF lehnte diesen Antrag tung (…) entbinden, und zwar unabhängig davon, ob unter Verweis auf die Regelung des Art. 30 Abs. 4 DSGVO diese Pflichten in Rechtsvorschriften der Union oder der ab, der eine dem IFG vorgehende Spezialregelung im Mitgliedstaaten festgelegt sind“. Dies spricht dafür, dass Sinne des § 1 Abs. 3 IFG darstelle. Demnach werde das sensible betriebliche Informationen – auch – nach der Verzeichnis auf Anfrage nur der Aufsichtsbehörde zur Richtlinie die Eigenschaft als Geschäftsgeheimnis nicht Verfügung gestellt. Ein allgemeines Einsichtsrecht, allein dadurch verlieren, dass sie ohne weitere Vertrau- wie es das frühere Bundesdatenschutzgesetz (BDSG) lichkeitsabreden an Behörden übermittelt werden. Es vorgesehen habe, bestehe hingegen nicht mehr. Die liegt auch nicht nahe, dass das Unternehmen durch die Antragstellerin wandte sich daraufhin mit einer Eingabe Übermittlung an eine bekanntermaßen zur Verschwie- an mich. Auch mir gegenüber hielt das BAMF an seiner genheit verpflichtete Stelle auf angemessene Geheimhal- Rechtsauffassung fest. tungsmaßnahmen verzichtet hätte. Der Rechtsauffassung des BAMF kann ich mich nicht Kurz nach Abschluss der Vermittlungen befasste sich das anschließen. Art. 30 Abs. 4 DSGVO stellt keine dem IFG Bundesverwaltungsgericht (BVerwG) mit dem Verhältnis vorgehende Spezialregelung dar. Nach der Rechtspre- von IFG und GeschGehG (vgl. BVerwG 17.06.2020 - 10 chung des Bundesverwaltungsgerichts wird das IFG nur C 22.19, Rn. 16), was jedoch nur teilweise zur Klärung durch solche Regelungen verdrängt, die einen mit § 1 beigetragen hat: Geschäftsgeheimnisse nach § 2 Nr. 1 Abs. 1 IFG identischen sachlichen Regelungsgehalt auf- GeschGehG (Art. 2 Nr. 1 RL (EU) 2016/943) sieht das weisen und sich als abschließende Regelung verstehen BVerwG quasi als Minimum dessen an, was durch § 6 (vgl. BVerwG, Urteil vom 22. März 2018 – 7 C 30/15). Dies Satz 2 IFG geschützt wird. Das Gericht geht davon aus, trifft auf Art. 30 Abs. 4 DSGVO jedoch nicht zu. Durch die dass der Begriff des Betriebs- oder Geschäftsgeheim- Regelung des Art. 30 DSGVO soll den Aufsichtsbehörden nisses in § 6 Satz 2 IFG zwar selbstständig auszulegen die datenschutzrechtliche Ex-post-Kontrolle ermöglicht ist, sich aber am gewachsenen Begriffsverständnis des werden. Der Wahrnehmung dieser Kontrollaufgabe Wettbewerbsrechts zu orientieren hat. Dieses sei offen dient auch die Regelung von Absatz 4, der die Pflicht zur für Fortentwicklungen und werde auch durch das neue Übermittlung des Verzeichnisses auf Anfrage an die Auf- GeschGehG geprägt. Als Leitlinie sieht es das BVerwG sichtsbehörde normiert. Während Art. 30 Abs. 4 DSGVO an, dass der Schutz nach § 6 Satz 2 IFG mindestens somit die effektive Aufgabenwahrnehmung durch die das umfassen muss, was als Geschäftsgeheimnis dem Aufsichtsbehörden sicherstellen will, gewährt § 1 Abs. 1 Geschäftsgeheimnisgesetz oder der Know-how-Schutz- IFG einen Anspruch für Jedermann auf Informationszu- Richtlinie unterfällt, um den Schutz nicht durch eine gang zu amtlichen Dokumenten. Art. 30 Abs. 4 DSGVO Informationspflicht der Behörde zu unterlaufen. Das ist somit bereits mangels identischen Regelungsgehalts Gericht ließ jedoch offen, ob § 6 S. 2 IFG einen weiterrei- nicht als eine das IFG verdrängende Spezialnorm i.S.d. chenden Schutz gewährt, hielt dies aber für möglich. § 1 Abs. 3 IFG zu sehen.

Die Grenzen des Schutzbereiches sind derzeit also noch Darüber hinaus ist aber auch nicht von einer abschlie- nicht abschließend konturiert. Die weitere Entwicklung ßenden Regelung auszugehen. Zwar ist die Regelung des der Rechtsprechung bleibt abzuwarten, insbesondere ob § 4g Abs. 2 BDSG alt – die ihrerseits auf die Vorgaben der sich hier eine „Konvergenz“ entwickelt oder die Begriff- Richtlinie 95/46/EG (Datenschutz-Richtlinie) zurückzu- lichkeiten in ihrer Interpretation durch die Gerichte führen ist – nicht in die DSGVO und die aktuelle Fassung „auseinanderdriften“. des BDSG übernommen worden, jedoch finden sich keine Anhaltspunkte dafür, die Regelung des Art. 30 8.1.3 Zugang zum Verzeichnis von Verarbeitungstätig- Abs. 4 DSGVO als abschließend zu verstehen. Vielmehr keiten wurden mit den Regelungen in Art. 12ff. DSGVO spezi- elle Pflichten geschaffen, die vorrangig der Information Das Verarbeitungsverzeichnis von Bundesbehörden der betroffenen Personen dienen sollen und somit die kann grundsätzlich auch Gegenstand eines Antrags auf ursprünglich zu diesem Zweck geschaffene Regelung zur Informationszugang nach dem Informationsfreiheits- Übersendung des Verarbeitungsverzeichnisses in der gesetz sein. Datenschutz-Richtlinie abgelöst haben. Dem Transpa- renzgedanken der DSGVO folgend, scheint die Intention

84 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 des Ausschlusses einer überobligatorischen Informa- 8.2 Rechtsprechung tion interessierter Personen durch Bereitstellung des Auch im Berichtsjahr 2020 haben die Gerichte einen Verzeichnisses über Verarbeitungstätigkeiten auch wesentlichen Beitrag zur Konkretisierung und Fortent- fernliegend. wicklung des Informationsfreiheitsrechtes geleistet. Somit ist im Ergebnis davon auszugehen, dass unter Zu- Nicht nur die mehr als 45.000 IFG-Antragstellenden grundelegung der durch das Bundesverwaltungsgericht hatten ein großes Interesse an der Entscheidung des LG entwickelten Kriterien die Regelung des Art. 30 Abs. 4 Köln zur Glyphosat-Stellungnahme des Bundesamtes für DSGVO keine das IFG verdrängende Spezialregelung ist. Risikobewertung.

Das VG Berlin stellte klar, dass Direktnachrichten aus 8.1.4 Informationsfreiheitsgesetz des Bundes gilt nicht dem Twitter-Account des Bundesministeriums des In- für der Deutschen Städtetag nern und für Heimat amtliche Informationen im Sinne Der Deutsche Städtetag ist keine Bundesbehörde. des IFG sind. Deshalb gilt hier nicht das Informationsfreiheitsgesetz (IFG) des Bundes. Auskunftspflichtig sind die Mitglieder 8.2.1 Streit um die Veröffentlichung einer Stellungnah- des Städtetages nach dem jeweiligen Landesrecht. me zu Glyphosat: Berechtigter Schutz geistigen Eigen- tums oder Zensur? Ein Petent bat mich um Vermittlung, weil er sein Recht auf Informationszugang durch den Deutschen Städtetag Inwieweit kann sich eine Behörde auf das Urheberrecht als verletzt ansah. berufen, um die Weiterverbreitung amtlicher Informa- tionen zu untersagen? Der Deutsche Städtetag hatte ihm mitgeteilt, dass er „als Verein nicht Adressat der einschlägigen Gesetze sei, die Reichweite und Bedeutung des Urheberrechtsschutzes einen Auskunftsanspruch des Bürgers gegen staatliche für die Informationsfreiheit sind noch nicht umfassend Institutionen vorsehen“ und ihm die begehrte interne geklärt. Umstritten ist insbesondere, inwieweit Behör- Information nicht übersandt. den sich darauf berufen können. Im teilweise öffentlich geführten Streit fielen sogar Schlagworte wie „Zensur“ Zu Recht: In der Tat gewährt das IFG des Bundes keinen und „Zensur(ur)heberrecht“. Anspruch auf Informationszugang gegenüber dem Deut- schen Städtetag. Gegenstand des Streites ist eine Ausarbeitung zum Her- bizid Glyphosat. Das Bundesinstitut für Risikobewertung Denn: Auskunftspflichtig nach § 1 Abs. 1 Satz 1 IFG sind (BfR) hatte mit eigenen Mitarbeitern eine „Stellungnah- nur Behörden des Bundes. Das IFG gewährt keinen me“ zu einer 95-seitigen englischsprachigen Monogra- Anspruch auf Informationszugang gegenüber privaten phie der Internationalen Agentur für Krebsforschung oder juristischen Personen des Privatrechts. Eine solche (International Agency for Research on Cancer – IARC) zu ist der Städtetag als zivilrechtliche Vereinigung von Glyphosat verfasst. Die sechsseitige Stellungnahme stellt Kommunen. Private sind ausnahmsweise und nur dann eine Zusammenfassung dar und enthält Übersetzungen zur Gewährung des Informationszuganges verpflichtet, von durch das BfR ausgewählten Passagen der Monogra- wenn sie als sog. Beliehene hoheitliche Aufgaben für phie. den Bund wahrnehmen und damit funktional als Behör- de tätig werden. Der Deutsche Städtetag ist ein freiwilli- Das BfR erhielt seit März 2019 mehr als 45.000 IFG-Anträ- ger Zusammenschluss von kreisfreien und kreisangehö- ge auf Zugang zu der Stellungnahme. Daraufhin ent- rigen Städten in Deutschland. Er nimmt als kommunaler schied das BfR durch Allgemeinverfügung, jeder antrag- Spitzenverband die Interessen der Städte wahr. Bundes- stellenden Person das Dokument über eine Internetseite aufgaben sind dem Städtetag nicht übertragen worden. des BfR bereitzustellen. Der Zugang erfolgte dabei über Der Städtetag ist deshalb auch kein sonstiges Bundesorg- einen auf sieben Tage befristeten individuellen Lese- an und auch keine sonstige Bundeseinrichtung, die nach zugang; Speichern, Weiterleiten und Ausdrucken des dem Wortlaut des § 1 Abs. 1 Satz 2 IFG grundsätzlich zur Dokuments waren nicht möglich. Einer Veröffentlichung Gewährung des Informationszuganges verpflichtet wäre. widersprach das BfR ausdrücklich. Das BfR wählte diese Art des Informationszugangs, um einerseits dem IFG zu Dem Petenten habe ich letztlich empfohlen, den Antrag genügen und andererseits das von ihm als wissenschaft- auf Informationszugang an eine Stadt zu richten, die liches Institut in Anspruch genommene Urheberrecht zu Mitglied im Deutschen Städtetag ist und einem Landes- wahren. gesetz zur Informationsfreiheit unterliegt. Einige Petenten wandten sich an mich, da sie sich durch die Art und Weise der Bereitstellung des Dokuments unter zeitlicher Limitierung und Ausschluss der Ver-

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 85 öffentlichung in ihrem Recht auf Informationszugang Ein Petent hatte mich um Vermittlung gebeten, weil der nach dem IFG als verletzt ansahen. Damit stand nicht Deutsche Bundestag seinen Antrag auf Übersendung von der Informationszugang als solcher im Streit, sondern Korrespondenzen, Vermerken, Notizen und Dienstan- die auf das Urheberrecht gestützten Beschränkungen weisungen im Zusammenhang mit Rechenschaftsbe- der Verwendung, insbesondere der Veröffentlichung. richten und Parteispenden für die Jahre 2013 und 2014 abgelehnt hatte. Ein Verein – die Open Knowledge Foundation (OKF) – hatte die Stellungnahme über einen IFG-Antrag vom Seine Ablehnung des Informationszugangs stützte der BfR erhalten, wobei dieses jedoch die weitere Veröf- Deutsche Bundestag auf das Parteiengesetz (PartG), das fentlichung unter Zustimmungsvorbehalt gestellt hatte. als spezialgesetzliche Regelung des Informationszugangs Der Verein stellte das Dokument – ohne Zustimmung nach § 1 Absatz 3 IFG die Anwendung des IFG und damit des BfR – in einem redaktionellen Artikel auf seiner den Informationszugang nach dem IFG ausschließe. Internetseite „Frag den Staat“ öffentlich zugänglich ein. Hierzu habe ich bereits im 4. Tätigkeitsbericht zur Infor- Das BfR mahnte den Verein ab und forderte gerichtlich mationsfreiheit eine andere Rechtsauffassung vertreten: Unterlassung. Vor dem Landgericht Köln (LG Köln) hatte die Klage keinen Erfolg. Zwar haben nach § 1 Absatz 3 IFG spezialgesetzliche Zugangsregelungen Vorrang, und das unabhängig da- Das LG Köln urteilte am 12. November 2020 (Az. 14 O von, ob sie ein engeres oder ein weiteres Zugangsrecht 163/19), die Veröffentlichung der Stellungnahme stelle gewähren. Dies gilt jedoch nur, soweit der Anwendungs- keine Urheberrechtsverletzung. Das Gericht begründet bereich der Spezialnorm reicht und sie als abschließen- seine Entscheidung damit, dass das BfR seine Stellung- de Regelung anzusehen ist. Im Übrigen bleibt das IFG nahme selbst veröffentlicht habe, indem es dem IFG-An- anwendbar. trag stattgab. Die Information sei damit nicht nur einer beschränkten und bestimmten Anzahl an Personen, Die vom Deutschen Bundestag in Bezug genommen sondern der Allgemeinheit zugänglich gemacht worden. Regelungen der §§ 23 ff. PartG sehe ich als objektive Daraus folge die Zustimmung zur weiteren Veröffentli- Transparenzregelungen und deshalb nicht als bereichs- chung. Das Publikmachen durch den Verein in einem spezifische, spezielle Zugangsregelungen, die den Infor- Artikel sei ein nach § 51 Urheberrechtsgesetz (UrhG) mationszugang nach dem IFG ausschließen (vgl. 4.TB zulässiges „Zitat“. Zudem sei spätestens mit Veröffentli- IFG, Nr. 5.1.3). chung der Allgemeinverfügung im Bundesanzeiger das Der Petent hatte gegen die ablehnende Entscheidung Gutachten als amtliches Werk im Sinne des § 5 Abs. 2 des Deutschen Bundestages geklagt und war damit auch UrhG zu qualifizieren. Die Allgemeinverfügung belege, in den ersten beiden Instanzen erfolgreich. Sowohl dass es dem BfR nicht auf eine Beschränkung des Emp- das VG Berlin als auch das OVG Berlin-Brandenburg fängerkreises angekommen sei. entschieden, dass „die Vorschriften über die Rechen- Das LG Köln führt die Diskussion zum Verhältnis von Ur- schaftslegung der politischen Parteien im PartG keine heberrechtsschutz und IFG in interessanter Weise fort. vorrangigen Spezialregelungen im Sinne des § 1 Abs. 3 Die Entscheidung ist auch deswegen von besonderem IFG sind, die dem Informationsfreiheitsgesetz vorgehen Interesse, da über den Fragenkreis bislang noch nicht und Sperrwirkung entfalten“ (vgl. VG Berlin, 2 K 69.16 höchstrichterlich entschieden ist. Nach der Argumenta- vom 26.01.2017, OVG Berlin-Brandenburg, 12 B 6.17 vom tion des LG kann bereits eine einfache Zugangsgewäh- 26.04.2018). rung nach dem IFG eine Veröffentlichung im Sinne des Anders als die Vorinstanzen bewertet das BVerwG die Urheberrechtes darstellen. Wenn dies für jede Infor- Transparenzregelungen des PartG als „ein in sich ge- mationszugangsgewährung gilt, wäre dies eine erheb- schlossenes Regelungskonzept zur Veröffentlichung von liche Stärkung des Rechtes auf Informationsfreiheit Informationen, die im Zusammenhang mit der Rechen- gegenüber Behörden, welche die weitere Nutzung von schaftslegung der Parteien und der Entwicklung der Informationen unter Berufung auf ihre Urheberrechte Parteifinanzen stehen“ und sieht deshalb den Informati- beschränken wollen. Zum Redaktionsschluss meines Tä- onszugang nach dem IFG als ausgeschlossen an (BVer- tigkeitsberichtes war das Urteil noch nicht rechtskräftig. wG, Urt. v. 17.06.2020, Az 10 C 16.19).

8.2.2 Was gilt? Das Parteiengesetz oder das Informati- 8.2.3 Social-Media und die Informationsfreiheit onsfreiheitsgesetz? Auch die über Social-Media ausgetauschten Nachrich- Ist das Parteiengesetz eine spezialgesetzliche Regelung ten von Bundesbehörden können Gegenstand eines im Sinne des Informationsfreiheitsgesetzes (IFG)? Das Antrags auf Informationszugang nach dem Informati- Bundesverwaltungsgericht hat nun entschieden. onsfreiheitsgesetz sein.

86 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Ein Antragsteller begehrte vom Bundesministerium des 461 Anrufungen ein. Dies entspricht einem Anstieg um Innern, für Bau und Heimat (BMI) Zugang zu den über 47 Prozent. dessen Twitter-Account ausgetauschten Direktnachrich- Bezogen auf die Ressorts verteilten sich die Eingaben ten. Nachdem das BMI den Zugang verweigerte, erhob auch anders als in vergangenen Perioden (siehe nach- der Antragsteller Klage vor dem Verwaltungsgericht Ber- folgende Grafik). Schwerpunkte lagen diesmal bei der lin und bekam dort Recht (VG Berlin, Urteil vom 26. Au- IFG-Bearbeitung durch die Bundestagsverwaltung, gust 2020, VG 2 K 163.18). Nach Auffassung des Gerichts durch das Bundesministerium des Innern und das Aus- handelt es sich auch bei Twitter-Direktnachrichten um wärtige Amt. Ein weiterer Schwerpunkt waren IFG-An- amtliche Informationen, da diese nicht ausschließlich träge an das Bundesministerium für Gesundheit, was am und eindeutig privaten (persönlichen) Zwecken die- starken Interesse der Antragsteller nach Informationen nen. Dabei spiele es auch keine Rolle, dass diese nicht im Zusammenhang mit der Corona-Pandemie liegt. Bestandteil eines Verwaltungsvorgangs geworden seien. Antragsinhalte waren hier unter anderem das Risikoma- Auch die Frage, ob die Informationen beim BMI über- nagement bei Coronaerkrankungen, Quarantänebestim- haupt vorhanden sind, bejahte das Gericht, da das BMI mungen und Kontaktpersonen-Nachverfolgung. diese noch über seinen Twitter-Account abrufen könne. Unerheblich sei in diesem Zusammenhang, dass die Nachrichten nicht auf eigenen Servern des BMI abgelegt A nrufungen nach § 12 Abs. 1 IFG seien. Im Übrigen wies das Gericht auch die seitens des BMI geltend gemachten Ausschlussgründe zurück.

Sofern diese Rechtsprechung Bestand hat, könnten auch andere Bereiche der Kommunikation von Bundesbe- hörden hiervon erfasst werden. Besondere Bedeutung kommt dabei der Tatsache zu, dass es für einen Infor- mationszugang keiner Veraktung in einem Verwaltungs- vorgang bedarf, sondern auch anderweitig gespeicherte Informationen Gegenstand eines Informationszugangs- begehrens sein können. Dies betrifft insbesondere auch die Nutzung von Kommunikationskanälen jenseits der klassischen E-Mail, wie etwa Messenger-Dienste oder SMS. Sofern entsprechende Nachrichten noch abrufbar und somit vorhanden sind, käme ein Anspruch auf Her- ausgabe grundsätzlich in Betracht.

Das BMI hat gegen die Entscheidung Revision beim Bun- desverwaltungsgericht eingelegt. Die weitere Entwick- lung bleibt somit abzuwarten.

8.3 Statistik zur Informations­ freiheit

In 2020 setzte sich die kontinuierliche Steigerung mei- ner Vermittlungstätigkeit gegenüber den Vorjahren fort.

Mich erreichten im Berichtszeitraum insgesamt 900 Ein- gaben. Dies entspricht einem Anstieg von rund 12 Prozent.

In 647 Fällen riefen mich Petenten als Ombudsperson nach § 12 Abs. 1 IFG an. Sie sahen ihr Recht auf Informa- tionszugang nach dem IFG verletzt, weil Informationen nicht, nicht rechtzeitig und/oder unter Berechnung überhöhter Gebühren zugänglich gemacht worden waren. Damit wurde ich im Berichtjahr deutlich häufiger um Vermittlung gebeten als im Jahr 2019. Damals gingen

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 87 Neben den Anrufungen wegen Verletzung des Rechtes ein. Im Vergleich zu den Vorjahren bleibt das Aufkom- auf Informationszugang waren im Berichtszeitraum men auf hohem Niveau stabil. Die Anträge richteten sich auch zahlreiche allgemeine Anfragen zu bearbeiten, mit u.a. auf die Bereitstellung von Berichten zu Beratungs- denen ich meist um Rechtsauskünfte zum IFG oder an- und Kontrollbesuchen und meine Stellungnahmen zu deren Regelungen des Informationsfreiheitsrechtes oder oftmals datenschutzrechtlich sensiblen Gesetzesvorha- um Vermittlung auch außerhalb meiner Zuständigkeit ben, aber auch zu meinen Akten zu einzelnen Vermitt- gebeten wurde. lungsverfahren. Aus der Abbildung ergibt sich die Ver- teilung der Zugangsgewährung, der Zugangsablehnung IFG-Anträge an meine Behörde und der sonstigen Erledigung im Berichtszeitraum. Im Berichtszeitraum gingen insgesamt 221 Anträge auf Zugang zu amtlichen Informationen in meiner Behörde

IFG-Anträge an meine Behörde

42 63

Informationszugang gewährt Informationszugang teilweise gewährt Informationszugang abgelehnt Sonstige Erledigung (z. B. Rücknahme) nicht in 2020 erledigt 11 78

27

88 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 9 Kontrollen und Auswirkungen

Bedingt durch die Regeln zur Bekämpfung des Coro- „Zwei-Faktor-Authentifizierung“ mit den „Faktoren“ na-Virus konnten im Jahr 2020 nur wenige der eigentlich Name und Geburtsdatum durchführen würde. Im geplanten Vor-Ort-Kontrollen durchgeführt werden. Aus Bereich der Informationssicherheit wird der Begriff diesem Grund wurden vermehrt neue Arten von Kont- „Faktor“ jedoch anders verwendet. Neben den Daten, rollen, wie z.B. die Fragebogenkonrolle eingesetzt. die zur Identifizierung einer Person erforderlich sind, z. B. Name mit Adresse, Kundennummer oder Benutzer- name, sind die Faktoren 9.1 Fragebogenkontrolle zur Au- → Wissen (ein Geheimnis, z.B. Passwort oder PIN), thentifizierung bei Call-Centern → Besitz (z.B. eine Chipkarte oder ein TAN-Generator) Bei einer telefonischen Hotline kann man keinen Aus- und weis vorzeigen. Wie kann und muss ein Telekommu- → Biometrie (z.B. ein Fingerabdruck) nikationsunternehmen feststellen, ob tatsächlich der Kunde anruft? notwendig.

Ein Stalking-Fall, bei dem eine Ex-Lebenspartnerin die Am einfachsten zu realisieren ist meist ein Geheimnis, neue Handynummer ihres früheren Lebensgefährten an z. B. durch ein Passwort. Dabei muss dem Nutzer be- der Telefon-Hotline eines Telekommunikationsanbieters wusst sein, dass es sich um ein Geheimnis handelt. Dies erhalten hatte, indem sie sich – ohne dabei vorzugeben, kann derzeit in vielen Bereichen als noch ausreichende der Vertragspartner selbst zu sein – mit dessen Geburts- Maßnahme betrachtet werden. Allerdings wird z.B. datum authentifiziert hatte, zeigt auf, dass die Authen- durch betrügerische E-Mails und gefälschte Websites tifizierung beim telefonischen Service nicht immer versucht, Zugangsdaten auszuspionieren. Insofern ist ausreichend durchgeführt wird. Gegen das betroffene eine Zwei-Faktor-Authentifizierung anzustreben, insbe- Unternehmen habe ich ein Bußgeld verhängt, wogegen sondere, wenn eine höhere Sicherheit erreicht werden das Unternehmen gerichtlich vorging. In diesem Verfah- muss (vgl. dazu auch den Katalog von Sicherheitsan- ren wurden verschiedene grundsätzliche Rechtsfragen forderungen der Bundesnetzagentur, der im Berichts- geklärt (s. Nr. 10.2). Unter anderem hat das Gericht zeitraum überarbeitet wurde22). Kundennummern und meine Auffassung bestätigt, dass ein Verstoß gegen die ähnliches können bei einer Authentifizierung nicht als Anforderungen zur Sicherheit der Verarbeitung gemäß ein Geheimwissen angesehen werden, höchstens als Art. 32 Datenschutz-Grundverordnung (DSGVO) vorlag. sogenannte Spezialwissen.

Das Geburtsdatum ist vielen Personen aus dem privaten Ausgehend von diesem Vorfall habe ich bei den großen und beruflichen Umfeld bekannt und somit ungeeignet, Telekommunikationsunternehmen eine schriftliche um die Datenherausgabe oder eine Veränderung von Fragebogenkontrolle zu den dortigen Verfahren der personenbezogenen Daten bei einem Anruf zu legiti- Authentifizierung von Anrufern durchgeführt. Auch mieren. Die Anforderungen der DSGVO, technische und wenn diese Kontrollen noch nicht alle vollständig abge- organisatorische Maßnahmen zur Datensicherheit zu schlossen sind, so lässt sich doch schon jetzt folgendes treffen, werden damit nicht erfüllt. In dem konkreten festhalten: Die Mehrheit der kontrollierten Unterneh- Fall hatte das Unternehmen vorgebracht, dass es eine men nutzt Passwörter oder vergleichbar sichere Verfah-

22 Siehe Abschnitt 3.1 in Anlage 1 des Katalogs von Sicherheitsanforderungen. Siehe: Amtsblatt der BNetzA 24/2020, Mitteilung Nr. 427/2020

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 89 ren wie eine PIN. Allerdings wurde oft eine Alternative auch der Name eines Ersatzempfängers. Die Postdienst- für ein vergessenes Passwort angeboten, bei dem nur die leister verwenden hierzu jeweils unterschiedliche Geräte Kundennummer oder ähnliche Daten, die nicht als Ge- und Verfahren. Zudem werden die Zustellungen wäh- heimwissen zu werten sind, für eine Authentifizierung rend der Corona-Pandemie anders dokumentiert, um herangezogen werden. Solche Verfahren sind zwar ein- eine kontaktarme Zustellung zu ermöglichen. Dies hat deutig besser als allein Name und Geburtsdatum abzu- zu einer weiteren Verunsicherung der Sendungsempfän- fragen, dennoch kann ich auch sie nicht als ausreichend ger beigetragen. bewerten. Die entsprechenden Unternehmen – aber Ich habe den Unternehmen einen umfassenden, struktu- selbstverständlich auch alle nicht zu dieser Fragestel- rierten Fragebogen zu den jeweils eingesetzten Geräten, lung kontrollierten Telekommunikationsunternehmen deren Anbindung an das Sendungsverfolgungssystem – sind aufgefordert, zeitnah sichere und dem Stand der und zur Prüfung der datenschutzkonformen Verarbei- Technik entsprechende Verfahren umzusetzen. tung personenbezogener Daten übermittelt. Bei zwei Unternehmen musste ich feststellen, dass ähn- Das Ergebnis der Fragebogenkontrolle ist positiv. Die lich unsichere Verfahren zur Authentifizierung wie im Geräte, die Software und die dahinterliegenden Prozesse Ausgangsverfahren im Einsatz sind, so dass ich entspre- arbeiten datenschutzkonform – so werden beispiels- chende Abhilfemaßnahmen prüfe. weise niemals biometrische Daten wie Fingerabdrücke Alle Unternehmen sind dazu verpflichtet, ausreichend erfasst. In den meisten Fällen ist dies durch die einge- sichere Verfahren anzubieten. Dabei sind Verfahren setzten Geräte – mangels Fingerabdruckscanner – tech- regelmäßig zu überprüfen und anzupassen, wenn die nisch überhaupt nicht möglich. Einzelne, mir im Voraus technischen und organisatorischen Maßnahmen zur bekanntgewordene Verstöße gegen den Datenschutz, Gewährleistung der Sicherheit der Verarbeitung nicht sind in der Regel auf Fehlbedienungen zurückzuführen, (mehr) ausreichen. wodurch z.B. einem Empfänger fehlerhafte Daten in der Sendungsverfolgung angezeigt werden. Strukturelle Querverweis: datenschutzrechtliche Mängel, etwa Möglichkeiten der 10.2 Urteil des Landgerichts Bonn bestätigt Rechtsauf- ungewollten Datenweitergabe an Dritte oder eine Erfas- fassung des BfDI sung von zu vielen personenbezogenen Daten, konnten nicht festgestellt werden. Die von den Zustellkräften der Paketdienstleister genutzten Handscanner werden 9.2 Fragebogenkontrolle datenschutzkonform eingesetzt. Handscanner

In der zweiten Jahreshälfte habe ich eine Fragebogen- 9.3 Änderung der Organisation des kontrolle bei 30 Paketdienstleistern durchgeführt, um behördlichen Datenschutzes im den datenschutzkonformen Einsatz von Handscannern zu prüfen. Bundesministerium der Verteidi- gung Die Zustellkräfte der Paketdienstleister nutzen mobile Datenerfassungsgeräte, um die Übergabe von Sendun- Defizite im Hinblick auf die Unabhängigkeit des be- gen an den Empfänger zu dokumentieren und direkt an hördlichen Datenschutzbeauftragten im Bundesminis- das Warenwirtschaftssystem zu übermitteln. Mich er- terium der Verteidigung wurden durch meine Interven- reichten immer wieder Eingaben von Bürgerinnen und tion beseitigt. Bürgern, die befürchteten, dass mit diesen Geräten Fin- Im Rahmen eines Beratungs- und Kontrollbesuchs gerabdrücke erfasst, unerlaubt Bild- und Tonaufnahmen wurde die Organisation des behördlichen Datenschut- gefertigt oder Ausweisdaten unerlaubt erfasst werden. zes (BfDBw) im Bundesministerium der Verteidigung Oftmals konnten begründete Fragen der Sendungsemp- (BMVg) bewertet. Meine Mitarbeiterinnen und Mitar- fänger von den sich stets in Eile befindlichen Zustellkräf- beiter haben festgestellt, dass die bisherige organisato- ten nicht beantwortet werden. rische Stellung und Einbindung der BfDBw innerhalb Das Postgesetz erlaubt den Dienstleistern, gewisse per- des BMVg deren Unabhängigkeit und Weisungsfreiheit sonenbezogene Daten zu erheben, um eine ordnungs- unangemessen einschränkt. Insbesondere das fehlende gemäße Zustellung oder eine erfolgte Altersverifikation unmittelbare Vortragsrecht bei der Hausleitung und zu dokumentieren. Dazu zählen unter anderem die Aus- die Einbindung in die ministerielle Linienorganisati- weisnummer, das Ablaufdatum des Ausweisdokumentes, on stießen auf datenschutzrechtliche Bedenken. Auch die Unterschrift des Empfängers und gegebenenfalls die Abläufe bei der Genehmigung von Dienstreisen

90 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 und Fortbildungen der BfDBw und ihrer Mitarbeite- Technisches Hilfswerk rinnen und Mitarbeiter, ihrer jeweiligen dienstlichen Auch das technische Hilfswerk (THW) zeigt einen bür- Beurteilung sowie der organisatorischen Einbindung ger- und serviceorientierten Umgang mit IFG-Anträgen der Außenstellen waren mit der gesetzlich normierten und beachtet die materiellen sowie die formellen Anfor- Unabhängigkeit der BfDBw unvereinbar. In der Folge der derungen des IFG. Ich konnte alle IFG-Verfahrensakten datenschutzrechtlichen Kontrolle wurde das unmittelba- von 2016 bis August 2020 einsehen. IFG-Anträge werden re Vortragsrecht der BfDBw gegenüber der Hausleitung zentral in der THW-Leitung in Bonn bearbeitet. Sofern in der Geschäftsordnung des BMVg festgeschrieben. IFG-Anträge bei den nicht selbständigen acht Landes- Die BfDBw wurde aus der Linienorganisation des BMVg bzw. 668 Ortsverbände des THW eingehen, sind diese herausgelöst und direkt dem Büro des Staatssekretärs an das zuständige zentrale Referat weiterzuleiten. Die unterstellt. Für die unabhängige Wahrnehmung ihrer Bearbeitung nach Weiterleitung erfolgt durchweg zügig. Aufgaben wurden der BfDBw eine Dauerdienstreisege- Die Prüfung der Aktenführung ergab keine Auffälligkei- nehmigung für das Inland erteilt sowie weitreichendere ten. Zu Einzelpunkten der Praxis, wie z.B. Gebühren, gab Möglichkeiten in Bezug auf Auslandsdienstreisen und ich beratende Hinweise und Anregungen. Am Beispiel Fortbildungsmaßnahmen eingeräumt. Zur Sicherstel- von IFG-Anträgen aus dem Kreise der Helfer ließ ich mir lung der Unabhängigkeit ihrer Mitarbeiterinnen und vom THW die Umsetzung des Datenschutzes in IFG-Ver- Mitarbeiter wurde der BfDBw deren dienstliche Beurtei- fahren erläutern; Hinweise auf Unregelmäßigkeiten, wie lung übertragen. Die dienstliche Beurteilung der BfDBw z.B. standardisierte Abgleiche mit zweckfremden Daten, selbst erfolgt künftig durch den Staatssekretär. Zwecks ergaben sich für mich nicht. Basisinformationen zum Wahrung der unabhängigen Aufgabenerfüllung in den Informationszugang stellt das THW online bereit. Außenstellen der BfDBw wurden die dort angesiedel- ten Dienstposten der BfDBw unterstellt. Durch diese Maßnahmen wurden die Unabhängigkeit der BfDBw 9.5 Kontrollen im Sicherheits­ und damit der Datenschutz innerhalb der Bundeswehr nachhaltig gestärkt. bereich

Neben gesetzlich vorgeschriebenen Pflichtkontrol- 9.4 Beratungs- und Kontrollbesuche len – diesmal beim Bundesamt für den Militärischen Abschirmdienst – habe ich trotz der pandemiebeding- zur Anwendung des Informations- ten Einschränkungen einige wichtige Beratungs- und freiheitsgesetzes Kon­trollbesuche im Sicherheitsbereich durchführen können. Unter anderem wurde dabei die Datenübermitt- Meine Kontroll- und Beratungsbesuche bei der Bundes- lung an Sicherheitsbehörden in Drittstaaten sowie die zentrale für politische Bildung und beim Technischen Umsetzung der Vorgaben des Sicherheitsüberprüfungs- Hilfswerk führten zu erfreulichen Ergebnissen. gesetzes in den Fokus genommen.

Bundeszentrale für politische Bildung 9.5.1 Kontrollen und Beanstandungen im Bereich des Mein Kontrollbesuch bei der Bundeszentrale für poli- Bundesamtes für Verfassungsschutz tische Bildung (bpb) zeigte, dass die Anwendung des Beim Bundesamt für Verfassungsschutz (BfV) habe Informationsfreiheitsgesetz (IFG) bürger- und service- ich im Berichtszeitraum Datenverarbeitungen im orientiert erfolgt und die Verfahrensvorschriften sowie Zusammenhang mit Ausschreibungen im Schengener die materiell-rechtlichen Vorgaben des IFG beachtet Informationssystem der 2. Generation (SIS II), mit werden. Die Kontrolle erfolgte auf Grundlage der Aus- Recherchen im Visa-Informationssystem (VIS) und mit wertung eines Großteiles der IFG-Verfahrensakten aus Datenübermittlungen des Bundesamtes für Migration den Jahren 2016 bis 2020. Die Bearbeitung von IFG-An- und Flüchtlinge (BAMF) kontrolliert. trägen und die Beteiligung der Fachreferate erfolgt konzentriert bei der Stabstelle Kommunikation, die auch Kontrolle verdeckter Ausschreibungen im SIS II als Pressestelle fungiert und zudem für Bürgeranfragen Im ersten Quartal habe ich beim BfV verdeckte Aus- zuständig ist. Damit werden eine schnelle und zuverläs- schreibungen im SIS II kontrolliert. Das BfV kann Aus- sige Zuordnung sowie eine sachkundige und serviceori- schreibungen im SIS II veranlassen, wenn die darüber zu entierte Bearbeitung der unterschiedlichen Informa- gewinnenden Informationen zur Abwehr einer von der tionsbegehren gewährleistet. Die Antragsbearbeitung betroffenen Person ausgehenden erheblichen Gefähr- erfolgt durchgehend rasch und die Entscheidung und dung oder anderer erheblicher Gefahren für die Sicher- der Informationszugang erfolgen regelmäßig problemlos heit des Staates erforderlich sind. Neben Dokumenta- innerhalb der Monatsfrist.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 91 tionsdefiziten fiel in den kontrollierten Vorgängen vor 9.5.2 Kontrolle der Anti-Terror Datei allem auf, dass der zwischen den beteiligten Behörden Beim Bundesamt für den Militärischen Abschirmdienst ausgetauschte Datenumfang nicht von den europäischen habe ich eine Pflichtkontrolle zur Nutzung der Anti-Ter- Vorschriften zum SIS II gedeckt ist. Auch die Speicher- ror-Datei durchgeführt. Auf Grundlage der Erkenntnis- und Löschprozesse bedürfen nach Maßgabe der gesetzli- se der Kontrolle im Jahr 2018 habe ich zusätzlich die chen Anforderungen einer Überarbeitung. Möglichkeit und Auswirkung eines additiven Grund- Bis zum Zeitpunkt des Redaktionsschlusses ist eine rechtseingriffs nachverfolgt. Dabei entstand ein erheb- Stellungnahme zu meinem Kontrollbericht seitens des licher Kontrollaufwand. zuständigen Bundesministeriums des Innern, für Bau Bei der diesjährigen Kontrolle der Anti-Terror-Datei und Heimat (BMI) nicht eingegangen. Für das Jahr 2021 (ATD) beim Bundesamt für den Militärischen Abschirm- erwarte ich eine weitergehende konstruktive Diskussion dienst (BAMAD) wurden keine Datenschutzverstöße fest- zu meinen Feststellungen und den hieraus erforderlich gestellt. Dasselbe gilt für die im Jahr 2018 durchgeführte werdenden Änderungen der Datenverarbeitungen im Kontrolle. Im Nachgang zu dieser Kontrolle habe ich B f V. allerdings im Jahr 2019 und jetzt abschließend im Jahr Kontrolle von Recherchen im VIS 2020 eine Prüfung auf sog. additive Grundrechtseingriffe durchgeführt. Außerdem habe ich ebenfalls Anfang 2020 Recherchen des BfV im VIS kontrolliert. Derartige Recherchen kann Im Zuge der Beteiligung mehrerer Behörden an der ATD das BfV vornehmen, wenn sie zur Verhütung oder Auf- können Datensätze zu einer Person von mehreren Stel- deckung schwerwiegender Straftaten einen erheblichen len genutzt und gespeichert werden. Beteiligte Behörden Beitrag leisten und erforderlich sind. Bei der Kontrolle sind nach § 1 Abs. 1 ATDG neben Bundesbehörden auch ist u. a. auffällig gewesen, dass die Dokumentation und die Landeskriminalämter und Verfassungsschutzbehör- Überprüfung des Vorliegens der Recherchevorausset- den der Länder. Dadurch kann ein sogenannter additiver zungen nicht den gesetzlichen Vorgaben entspricht und Grundrechtseingriff entstehen, insbesondere wenn ne- die Speicherdauer der recherchierten Daten differen- ben der Speicherung in der ATD ein und dieselbe Person zierter ausgestaltet werden muss. von verschiedenen Behörden gleichzeitig mit nachrich- tendienstlichen oder polizeilichen Mitteln beobachtet Die Stellungnahme des BfV bzw. des BMI erreichte mich wird. Maßnahmen, die isoliert betrachtet verhältnismä- kurz vor Ende des Redaktionsschlusses. Ich werde diese ßig sind, können so ggf. unverhältnismäßig werden. nun auswerten und gehe davon aus, dass sich auch hie- ran ein weiterer Austausch über ggf. noch notwendige Um dies beurteilen zu können, ist eine Gesamtschau und Anpassungen der Datenverarbeitungen anschließt. ein Zusammenwirken verschiedener Aufsichtsbehörden notwendig. Ich habe deshalb im Berichtszeitraum im Kontrolle von Datenübermittlungen zwischen BAMF Zusammenhang mit der Kontrolle im Jahr 2018 das Bun- und BfV deskriminalamt um Übermittlung der Protokolldaten Im dritten und vierten Quartal habe ich des Weiteren gebeten, die darüber Aufschluss geben, welche Behör- Aspekte der Datenübermittlungen des BAMF an das BfV den Suchanfragen mit Treffern zu den vom BAMAD ge- gemäß § 18 Abs. 1a S. 1 BVerfSchG geprüft. Das BAMF speicherten Datensätzen gestellt bzw. erzielt haben. Im darf dem BfV Informationen über Personen übermit- Ergebnis konnten mehrere Bundes- und Landesbehör- teln, die es bei Wahrnehmung seiner Aufgaben erhebt, den festgestellt werden. Daraufhin habe ich die für diese wenn es tatsächliche Anhaltspunkte dafür feststellt, dass Behörden zuständigen Landesdatenschutzbeauftragten sie zur Sammlung und Auswertung von verfassungs- (LfD) angeschrieben und um Prüfung gebeten, weil die feindlichen Bestrebungen oder Tätigkeiten im Sinne des Kontrolle der Suchanfragen von Landesbehörden zu Da- § 3 Absatz 1 BVerfSchG erforderlich sind. Die Kontrolle tenbeständen von Bundesbehörden in der Zuständigkeit hat u. a. ergeben, dass die in der Praxis seitens des BfV der jeweiligen LfD liegt. Meine Kolleginnen und Kolle- aufgestellten Kriterien, bei deren Vorliegen das BAMF gen in den zuständigen Landesbehörden haben mich bei eine Übermittlung vornimmt, überarbeitet werden dieser Prüfung auch entsprechend unterstützt. müssen. Die Kriterien gewährleisten nicht für jeden Fall, Inhaltlich konnten im Ergebnis weder datenschutzrecht- dass tatsächliche Anhaltspunkte für eine Aufgabenrele- lichen Verstöße noch additive rechtswidrige Grund- vanz des BfV bestehen. Auch hierüber werden im weite- rechtseingriffe festgestellt werden. Die Prüfung, ob ren Verlauf mit dem BfV und dem BMI als Fachaufsicht additive Grundrechtseingriffe vorlagen, führte allerdings noch Gespräche geführt werden. zu unterschiedlichen Ergebnissen. Teilweise resultier- ten aus den Suchanfragen mit Treffern keine weiteren Maßnahmen seitens der anfragenden Behörde. Zum

92 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Teil waren die zugrundeliegenden Daten mittlerweile – → die fehlende Konkretisierung der Aussonderungs- rechtmäßig – gelöscht, da der Abfragezeitpunkt schon prüffristen, länger zurücklag. Auch stellten sich technisch-organisa- → die Speicherung von Dateien auf den Gruppenlauf- torische Herausforderungen, die eine Prüfung durch die werken als „Aktenersatz“, LfD erschwerte. Andere Abfragen blieben ohne positives Ergebnis, d.h. offenbar stimmte die gesuchte Person → die fehlende Möglichkeit, Daten zu kennzeichnen, nicht mit der seitens BAMAD gespeicherten Person die bei verdeckten Maßnahmen erhoben wurden. überein. Inzwischen informierte mich das Bundesministeri- Insgesamt zeigte sich, dass diese Art der Prüfung einen um des Inneren, für Bau und Heimat (BMI) darüber, erheblichen zusätzlichen Aufwand bedeutet. Ich habe das VBS sei bereits Ende 2019 funktional so angepasst für den gesamten Vorgang einen Zeitraum von ca. acht worden, dass Daten aus besonders eingriffsintensiven Monaten benötigt. Bei einer alle zwei Jahre durchzufüh- Maßnahmen gekennzeichnet werden könnten, so dass renden datenschutzrechtlichen Kontrolle der ATD bei ihre Herkunft damit erkennbar sei. Abgesehen davon sei den beteiligten Bundesbehörden stellt dieser zeitliche beabsichtigt, die Nutzung des VBS im Hinblick auf Aus- Aspekt eine große Hürde zur Bewertung eines mögli- sonderungsprüffristen und die Vorgangsführung unter chen additiven Grundrechtseingriffs dar. Beachtung des Aufgabenspektrums des BKA soweit wie möglich zu vereinheitlichen. Zur Gewährleistung einer Im Tätigkeitsbericht 2017-2018 hatte ich bereits festge- lückenlosen, revisionssicheren und einheitlichen Akten- stellt, dass der Aufwand, den die Behörden bei der Spei- führung im BKA sei die Einführung einer bedarfsange- cherung, Pflege und Löschung der Daten aus ATD und passten elektronischen Akte geplant. RED betreiben, sehr hoch ist und für diese offenbar in keinem Verhältnis zum Nutzen steht (vgl. 27. TB Nr. 9.3.5 Im Hinblick auf die von mir festgestellten Mängel der und 9.3.11). Trotz der sich einstellenden Routine bei der Dokumentation und Aktenführung teilt das BMI zwar Kontrolle dieser Dateien auf Seiten des BfDI bleibt der meine Ansicht, dass diese einer umfassenden Neuaus- Aufwand auch in meiner Behörde ebenfalls hoch. Da die richtung bedürfen. Die Konzeptionierungsphase solle Kosten-Nutzen-Analyse für die einspeichernden Behör- bis Mitte 2021 abgeschlossen sein. Es ist allerdings den so negativ ausfällt, empfehle ich weiterhin, beide gleichermaßen bedauerlich wie verwunderlich, dass die Dateien abzuschaffen. Konzeptionierung solch dringend notwendiger Änderun- gen erst knapp zwei Jahre nach der Übersendung meines 9.5.3 Das Vorgangsbearbeitungssystem beim BKA Prüfberichts abgeschlossen sein und die eigentliche Umsetzung entsprechend noch später erfolgen soll. Das Vorgangsbearbeitungssystem (VBS) ist ein zentrales Werkzeug für die tägliche Arbeit des Bundeskrimi- Andere – gerade zentrale – Punkte der Beanstandungen nalamtes (BKA) mit elektronischen Informationen. Sei- wurden vom BMI bislang nicht aufgegriffen. ne aktuelle Ausgestaltung weist nach wie vor erhebliche Ganz elementar ist für mich die Notwendigkeit einer datenschutzrechtliche Mängel auf. Trennung zwischen den verschiedenen Zwecken, zu Das VBS dient der Erstellung und Bearbeitung von Vor- denen das BKA personenbezogene Daten im VBS verar- gängen. Es bietet darüber hinaus verschiedene, für die beitet. Insofern vertritt das BMI z. B. im Hinblick auf die polizeiliche Sachbearbeitung relevante Funktionalitäten Verarbeitung von personenbezogenen Daten zur Vor- wie die Vorgangsverwaltung und Dokumentation sowie gangsverwaltung und zur Dokumentation polizeilichen Recherchemöglichkeiten in den dort erfassten Daten Handelns die Rechtsansicht, § 22 Abs. 2 BKAG erlaube etc. eine Speicherung insbesondere in den Fällen, in denen die Erforderlichkeit einer Weiterverarbeitung zur Auf- Bei einem früheren Beratungs- und Kontrollbesuch gabenerfüllung noch nicht beurteilt werden kann und habe ich erhebliche datenschutzrechtliche Mängel der es nicht ausgeschlossen ist, dass das betreffende Datum Datenverarbeitung im VBS beim BKA festgestellt und zu einem späteren Zeitpunkt einen polizeilichen Nutzen beanstandet. Darüber habe ich in meinem letzten Tätig- haben könnte. „Das Datum kann“ – so das BMI – „aufbe- keitsbericht ausführlich informiert (vgl. 28. TB, 6.7.3). wahrt und ggf. mit weiteren Erkenntnissen angereichert Beanstandet hatte ich insbesondere Folgendes: werden, bis eine Entscheidung über die Erforderlichkeit der Speicherung zur Aufgabenerfüllung herbeigeführt → die mangelnde Abgrenzung der zu verschiedenen werden kann oder das Datum ausgesondert wird oder Zwecken im VBS gespeicherten Daten, aufgrund des Ablaufs von Höchstspeicherfristen zu → die Vergabe der Zugriffsrechte im VBS, löschen ist“. → die Funktion „Dateienrundlauf“,

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 93 Eine solche Sichtweise findet im Gesetz keine Grundlage Instrument zu stellen sind, ist allerdings sowohl auf und widerspricht dem verfassungsrechtlichen Grundver- nationaler als auch auf europäischer Ebenen noch nicht ständnis, wonach Daten von vornherein nur zu be- abschließend geklärt. stimmten, präzise und normenklar festgelegten Zwecken Im Ergebnis ist diese Beurteilung für das BKA aber eher gespeichert werden dürfen. Bereits bei der Speicherung von dogmatischer Natur als von praktischer Relevanz. muss hinreichend gewährleistet sein, dass die Daten nur Der nationale Gesetzgeber hat für Datenübermittlung in für solche Zwecke verwendet werden, die das Gewicht Drittstaaten vorgesehen, in jedem Einzelfall zu prüfen, der Datenspeicherung rechtfertigen. Das ist ständige ob ein datenschutzrechtlich angemessener und die ele- Rechtsprechung des Bundesverfassungsgerichts. Eine mentaren Menschenrechte wahrender Umgang mit den Datenspeicherung auf Halde für den Fall, dass sie ir- Daten beim Empfänger der Übermittlung sichergestellt gendwann einmal für die polizeiliche Aufgabenerfüllung ist. In meiner Kontrolle konnte ich feststellen, dass das „nützlich“ sein könnten, ist nicht zulässig. BKA diese Einzelfallprüfung auch überwiegend durch- Ich werde auf eine zeitnahe datenschutzkonforme führt. Ausgestaltung des VBS beim BKA drängen und erforder- Nur in zwei Fällen habe ich eine Beanstandung ausge- lichenfalls geeignete Maßnahmen zur Beseitigung der sprochen: Es handelte sich um Fälle, in denen Landespo- festgestellten Mängel gemäß § 69 Abs. 2 BKAG treffen. lizeibehörden von einem Drittstaat um eine Datenüber- mittlung ersucht worden waren. In derartigen Fällen 9.5.4 Datenübermittlungen des BKA im internationalen kann es vorkommen, dass die jeweilige Landesbehörde Bereich das BKA bittet, den Datenaustausch mit dem ersuchen- In 2016 hat das Bundesverfassungsgericht erstmals den Land zu übernehmen. Das BKA handelt dann in ei- Aussagen zu den Anforderungen an die Übermittlun- ner gesetzlich vorgesehenen „Korrespondenzfunktion“. gen von Daten durch das Bundeskriminalamt (BKA) an In solchen Konstellationen geht das BKA davon aus, dass öffentliche Stellen im Ausland getroffen (Urteil vom eine materielle Rechtmäßigkeitsprüfung der Datenüber- 20. April 2016, Az. BvR 966/09). Deshalb musste der mittlung durch die jeweilige Landesbehörde erfolgt. Gesetzgeber regelmäßige Kontrollintervalle im zweijäh- Aus Anlass eines vor Ort geprüften Falles habe ich dem rigen Turnus festlegen. Einen verpflichtenden Bera- BKA dringend geraten, mindestens eine summarische tungs- und Kontrolltermin habe ich dieses Jahr beim Rechtsmäßigkeitsprüfung vorzunehmen, da das BKA für BKA wahrgenommen und ausgewählte Datenübermitt- die Datenübermittlung auch in dieser Korrespondenz- lungen in die Länder Russland, Katar, Japan und Israel funktion die datenschutzrechtliche Verantwortung trägt. geprüft. Das BKA hat einigen Aufwand betrieben, die Das BKA handelt hier nicht als bloßer „Bote“, sondern rechtlichen Fragen auszuarbeiten und die Abteilungen führt die Korrespondenz eigenständig. Es handelt sich zu schulen. In Einzelfällen habe ich aber dennoch Da- um eine gesetzliche Aufgabe des BKA, nicht um eine tenschutzmängel festgestellt und diese beanstandet. reine Auftragsverarbeitung. Die Datenübermittlungen in Drittstaaten (Staaten In einem anderen Fall ermittelten die japanischen Be- außerhalb der EU) stellen für das BKA ein tägliches hörden wegen (räuberischen) Diebstahls und traten an „Massengeschäft“ dar. Positiv erwähnenswert bei mei- das BKA heran. Das BKA bat die zuständige Landespoli- ner Kontrolle ist daher, dass das BKA bestrebt ist, alle zeibehörde um eine Auskunft der über den Betroffenen zuständigen Abteilungen regelmäßig zu schulen und für gespeicherten Daten. Das BKA hat an Japan fast alle die Thematik zu sensibilisieren. seitens der Landespolizeibehörde zur Verfügung gestell- Die gesetzlichen Regelungen sehen eine Prüfung des da- ten Daten übermittelt ohne jedoch vorher zu prüfen, auf tenschutzrechtlichen Niveaus eines jeden Landes nach welcher Verdachtslage der Betroffene überhaupt gespei- den Vorschriften des Bundesdatenschutzgesetzes vor. chert war. Außerdem wurde der japanischen Behörde Hier ist zu unterscheiden, ob die EU für das jeweilige mitgeteilt, dass der Betroffene hier als „politisch- Land einen Angemessenheitsbeschluss erlassen hat oder motiviert-links“ eingeordnet sei. Die Datenqualität und ob geeignete Garantien in einem rechtsverbindlichen Datenvalidität halte ich für ungenügend. Außerdem ging Instrument festgeschrieben sind. Für die Bewertung des die Übermittlung über den angeforderten Datenumfang jeweiligen Schutzniveaus bedient sich das BKA – auch in der anfragenden Behörde hinaus. Die Vorgehensweise Zusammenarbeit mit dem Bundesamt für Justiz - unter- des BKA habe ich daher als Verstoß gegen den Erforder- schiedlichster Informationen, z. B. Menschenrechtsjah- lichkeitsgrundsatz beanstandet. resberichte, Berichte des Auswärtigen Amtes sowie bila- terale und sonstige Abkommen. Welche Anforderungen an geeignete Garantien in einem rechtsverbindlichen

94 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 9.5.5 Allgemeiner Beitrag über die durchgeführten Die Kontrolle beim Assessmentcenter für Führungskräf- SÜG-Kontrollen te der Bundeswehr war zum Redaktionsschluss bereits abgeschlossen. In den übrigen beiden Fällen haben die Die datenschutzrechtlichen Kontrollen der Vorgaben kontrollierten Stellen noch Gelegenheit zur Stellungnah- des Sicherheitsüberprüfungsgesetzes (SÜG) bei zwei öf- me. Die kontrollierten Stellen haben sich aber kooperati- fentlichen Stellen und einem Wirtschaftsunternehmen onsbereit gezeigt und einige festgestellte Mängel bereits ergaben Verbesserungspotential bei der Führung von behoben. Auch in der Nachbereitung der Kontrollen Sicherheitsakten und Dateien sowie bei der Kommuni- kann ich bislang über eine konstruktive Zusammenar- kation zwischen den beteiligten Stellen. beit mit den kontrollierten Stellen berichten. Im Berichtszeitraum habe ich bei zwei Bundesbehörden und einem Wirtschaftsunternehmen kontrolliert, ob sie die datenschutzrechtlichen Vorgaben aus dem SÜG einhalten.

Die erste Stelle war das Assessmentcenter für Führungs- kräfte der Bundeswehr. Gegenstand der Prüfung waren die Einstellungsüberprüfungen von Soldatinnen und Soldaten als Führungskräfte bei der Bundeswehr. Seit 2017 sind alle Soldatinnen und Soldaten gemäß § 37 Abs. 3 Soldatengesetz bei ihrer erstmaligen Berufung in ein Dienstverhältnis mindestens einer einfachen Sicher- heitsüberprüfung zu unterziehen.

Überprüft habe ich auch das Bundesamt für Verfas- sungsschutz (BfV). Hier betraf die Kontrolle die Sicher- heitsüberprüfungen eigener Mitarbeiterinnen und Mitarbeiter des BfV.

Bei dem geprüften Wirtschaftsunternehmen handelte es sich um eine Firma aus Bonn. Kontrollgegenstand waren in diesem Fall die Sicherheitsüberprüfungen für den Geheimschutz.

In allen drei Fällen habe ich vereinzelte Verstöße gegen die Vorgaben, wie Sicherheitsakten zu führen sind, fest- gestellt. Diese reichen von unvollständigen Akten über unzulässige Unterlagen in den Sicherheitsakten bis hin zu Akten, deren Vernichtung überfällig war.

Auch in den geprüften Dateien, die zur Erleichterung der Verfahren geführt werden dürfen, gab es in Einzelfällen Fehler. Diese betrafen die unzulässige Speicherung von Daten bzw. deren nicht durchgeführte Löschung.

Insbesondere bei dem kontrollierten Unternehmen war außerdem die Kommunikation zwischen der Personal- verwaltung und der für die Sicherheitsüberprüfung zuständigen Stelle stark zu bemängeln. So erhielt die für die Sicherheitsüberprüfung zuständige Stelle von der Personalverwaltung aktiv gar keine oder nur sehr verspätet Mitteilung über das Ausscheiden sicherheits- überprüfter Personen.

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 95 10 BfDI intern

10.1 Handlungsmöglichkeiten und organisatorischen Maßnahmen verpflichten, nicht des BfDI bei europarechtswidriger abdingbar sind. Gesetzgebung Ich habe den gesetzlichen Auftrag, die unter meiner Aufsicht stehenden Stellen über die ihnen aus der DS- Nationale Regelungen müssen im Einklang mit der GVO, dem Bundesdatenschutzgesetz und den sonstigen Datenschutz-Grundverordnung (DSGVO) stehen. Ist Vorschriften über den Datenschutz entstehenden Pflich- dies nicht der Fall, kann durch die Umsetzung dieser ten zu sensibilisieren und zu beraten. Daher teile ich Regelungen gegen die DSGVO verstoßen werden. Diesen den von der jeweiligen Neuregelung betroffenen Stellen Fällen versuche ich bereits im Gesetzgebungsverfahren meine Position hierzu ebenfalls mit. Diesen gegenüber entgegenzuwirken, indem ich entsprechende Stellung- behalte ich mir neben der formellen Warnung, dass nahmen abgebe und notfalls den unter meiner Aufsicht beabsichtigte Verarbeitungsvorgänge wegen des Anwen- stehenden Stellen die Ergreifung aufsichtsrechtlicher dungsvorrangs der DSGVO voraussichtlich gegen diese Maßnahmen für den Fall ankündige, dass sie die nati- verstoßen, für den Fall der nicht DSGVO-konformen Um- onalen Regelungen trotz Verstoßes gegen die DSGVO setzung der Neuregelungen die Ausübung der weiteren anwenden. mir zur Verfügung stehenden Abhilfebefugnisse vor. Die- se sind in Art. 58 Absatz 2 DSGVO geregelt. In Betracht Zeigt sich anhand eines Gesetzesentwurfs, dass Regelun- kommt u.a. die Anweisung, die europarechtswidrigen gen den Anforderungen der DSGVO nicht ausreichend Verarbeitungsvorgänge in Einklang mit der DSGVO zu gerecht werden, bringe ich dies im Rahmen meiner bringen. Zudem ist auch eine Untersagung der betreffen- Stellungnahmen im Gesetzgebungsverfahren frühzeitig den Verarbeitungsvorgänge möglich. ein. Beispiele hierfür sind einige Regelungen im Patien- tendaten-Schutz-Gesetz (vgl.4.2). So sieht § 342 Absatz 2 Querverweise: Nr. 2 lit. b) SGB V nur für Nutzende von geeigneten End- 4.2 Patientendaten-Schutz-Gesetz, 7.6 Unverschlüsselte geräten wie Mobiltelefonen oder Tablets einen daten- Steuerdaten schutzrechtlich ausreichenden Zugriff auf ihre eigene elektronische Patientenakte vor und dies zudem erst ab dem Jahr 2022. Unabhängig mit der damit verbundenen 10.2 Urteil des Landgerichts Bonn Ungleichbehandlung bei der Ausübung des Rechts auf informationelle Selbstbestimmung ab 2022, wird durch bestätigt Rechtsauffassung des die Regelung in der ersten Umsetzungsphase gegen das BfDI Prinzip der Erforderlichkeit verstoßen. Denn in dieser Phase erhalten alle Leistungserbringer, denen die Versi- In seinem Urteil vom 11. November 2020 hat das cherten Einsicht in ihre Daten gewähren, Einblick in alle Landgericht Bonn wesentliche Grundsatzfragen mit dort enthaltenen Informationen. Und dies unabhängig bundes- und europaweiter Bedeutung zur bußgeld­ davon, ob sie für die konkrete Behandlung erforderlich rechtlichen Haftung von Unternehmen nach der sind. Ein weiteres Beispiel ist § 87a Absatz 1 Satz 3 2. Datenschutz-Grundverordnung (DSGVO) geklärt und Halbsatz Abgabenordnung, nach dem der unverschlüs- ist dabei weitestgehend meinen Rechtsauffassungen selte E-Mail-Verkehr des Finanzamts im Falle einer gefolgt. Die Haftung ist nicht auf Verstöße durch Organe Einwilligung aller Beteiligten zulässig ist (vgl. 7.6). Dem oder Leitungspersonen beschränkt. Zudem ist bei der steht entgegen, dass die Regelungen der DSGVO, die Geldbuße auf den Umsatz der so genannten wirtschaft- den Verantwortlichen zur Einhaltung der technischen lichen Einheit abzustellen. Im konkreten Fall sah das

96 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Landgericht nur einen leichten Verstoß und reduzierte des § 30 Abs. 1 des Gesetzes über Ordnungswidrigkeiten daher die Höhe der Geldbuße. (OWiG) ist damit unvereinbar und aufgrund des sog. Anwendungsvorrangs des Unionsrechts unanwendbar. In meinem letzten Tätigkeitsbericht habe ich über eine Geldbuße gegen die 1&1 Telecom GmbH berichtet (s. Zudem sind Strukturen in Unternehmen häufig kom- 28. TB, Anlage 2). In meiner Bußgeldentscheidung hatte plex. Sie können aus Mutter- und mehreren Tochterge- ich den Vorwurf erhoben, dass das Unternehmen seine sellschaften bestehen, die teilweise aber vollständig von Kundendaten bei der telefonischen Kundenbetreuung der Muttergesellschaft kontrolliert und zwischen denen zeitweise nicht ausreichend geschützt hatte. So bestand wirtschaftliche Werte verschoben werden. Aus wirt- das Risiko, dass unberechtigte Dritte durch bloße Kennt- schaftlicher Sicht können sie dann in einer Gesamtschau nis von Name und Geburtsdatum des Kunden weitere gemeinsam eine Einheit bilden. Das Landgericht Bonn Kundendaten erfragen konnten. Um das zu verhindern, hat in seiner Entscheidung bestätigt, dass für die Frage bedurfte es aus meiner Sicht einer angemessenen Prü- der Obergrenze einer Geldbuße auf den Gesamtumsatz fung der Berechtigung der Anrufer (Authentifizierung). der wirtschaftlichen Einheit abzustellen ist und nicht Die Kenntnis von Name und Geburtsdatum des Kunden nur auf den Umsatz der Tochtergesellschaft. Es folgt reichten bei den betroffenen Daten aus meiner Sicht damit dem erklärten Willen des europäischen Gesetzge- nicht. Die 1&1 Telecom GmbH hatte während meines bers. Ordnungswidrigkeitenverfahrens die internen Maßnah- Neuberechnung Bußgeld durch Gericht men zeitnah angepasst, um ein höheres Schutzniveau zu gewährleisten. Im Rahmen der telefonischen Kunden- Bei der Zumessung der konkreten Geldbuße sind sowohl betreuung setzt das Unternehmen nunmehr auf eine die tatbezogenen Gesichtspunkte des Art. 83 Abs. 2 PIN-Lösung zur Authentifizierung seiner Kundinnen DSGVO als auch die übergreifenden Ahndungsprinzipien und Kunden. Aus Anlass des vorliegenden Falls habe ich des Art. 83 Abs. 1 DSGVO heranzuziehen. Die Prinzipien auch andere Telekommunikationsanbieter im Rahmen der Wirksamkeit, Verhältnismäßigkeit und Abschre- einer Kontrolle auf die telefonischen Authentifizierungs- ckung erlauben dabei auch die Berücksichtigung der maßnahmen hin überprüft, auf etwaige notwendige individuellen Ahndungsempfindlichkeit, wie das Gericht Änderungen hingewirkt und prüfe, ob Aufsichtsmaß- klarstellte. Diese kann je nach Unternehmensgröße nahmen notwendig sind (s. 9.1). unterschiedlich sein. Es geht bei DSGVO-Geldbußen also auch um elementare Fragen der Belastungsgleichheit. Nachdem das Unternehmen Einspruch gegen meinen Denn die identische Bußgeldhöhe kann einen Kleinst- Bußgeldbeschluss eingelegt hatte, wurde die Bußgeldsa- unternehmer wirtschaftlich ungleich stärker belasten che über die Staatsanwaltschaft an das Landgericht Bonn als ein Großunternehmen. Das Gericht bestätigte, dass abgegeben. In seinem Urteil vom 11. November 2020 der Umsatz und andere wirtschaftliche Faktoren eine bestätigte das Landgericht meine Bußgeldentscheidung erste Orientierung für die Bestimmung der Bußgeldhöhe dem Grunde nach, setzte aber eine geminderte Geldbu- geben können. Damit wird den Forderungen der Wirt- ße fest. Das Urteil ist über den konkreten Bußgeldfall schaftsverbände, der Umsatz dürfe bei der Zumessung hinaus wegweisend für die gesamte bundes- und euro- keine Rolle spielen, eine klare Absage erteilt. Diese erste paweite Ahndungspraxis unter der DSGVO und bringt Orientierung ist dann durch gebührende Berücksichti- mehr Rechtsklarheit und -sicherheit für Unternehmen gung der Schwere der Tat nach oben oder unten anzu- und Aufsichtsbehörden. Insbesondere bestätigte das passen. Landgericht zahlreiche meiner Rechtsauffassungen, die von Wirtschaftsverbänden zuvor in Frage gestellt worden Dass sowohl die Schwere der Tat als auch die Unterneh- waren. Zugleich gab das Gericht den Datenschutzauf- mensgröße zu berücksichtigen sind, entsprach dabei sichtsbehörden wichtige Hinweise und Orientierungen bereits der gängigen Praxis der Datenschutzbehörden. zur Bestimmung wirksamer, verhältnismäßiger und Neue Erkenntnisse ergeben sich aber aus den darauf abschreckender Geldbußen mit auf den Weg. folgenden Ausführungen des Gerichts: Je leichter oder schwerer der Verstoß, desto höheres Gewicht hat die So bestätigte das Landgericht etwa, dass nach der DSGVO Schwere der Tat dann gegenüber der Unternehmens- die Haftung von juristischen Personen nicht auf Ver- größe. Dabei wird in der Praxis nach meiner Auffassung stöße durch Organe oder Leitungspersonen beschränkt auch bei sehr leichten und sehr schweren Verstößen ein ist. Die unmittelbare Verbandshaftung der DSGVO ist besonderes Augenmerk darauf liegen müssen, dass die insoweit vorrangig und lässt keinen Spielraum für Unternehmensgröße nicht derart bedeutungslos wird, abweichende Regelungen des deutschen Gesetzgebers. dass die Geldbußen gegenüber großen Unternehmen Denn solche würden den fairen Wettbewerb innerhalb wirkungslos oder gegenüber Kleinstunternehmen unver- der EU verzerren und dem Ziel der DSGVO zu einer ein- hältnismäßig werden könnten. Dies stünde im Wider- heitlichen Sanktionierung widersprechen. Die Vorschrift

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 97 spruch zu den übergreifenden Ahndungsprinzipien des über die Sicherheitsbehörden und für die Wahrnehmung Art. 83 Abs. 1 DSGVO. neuer Aufgaben insgesamt 67 Stellen bewilligt.

Im konkreten Fall der 1&1 Telecom GmbH sah das Zur Besetzung vakanter Positionen habe ich 2020 trotz Landgericht bei Anwendung der oben skizzierten Zu- der Corona-Pandemie insgesamt 14 Auswahlverfahren, messungsgesichtspunkte nur einen leichten Verstoß und darunter Sammelausschreibungen für mehrere Positio- reduzierte den Betrag daher auf knapp ein Zehntel mei- nen, durchgeführt. Dabei habe ich auch auf den Einsatz ner ursprünglich verhängten Geldbuße. Bei Anwendung moderner hausinterner Videokonferenztechnik zurück- der aufgezeigten Zumessungsmethode ist die gericht- gegriffen, um qualifiziertes Personal zu finden. Im Jahr liche Geldbuße nachvollziehbar und dürfte jedenfalls 2020 haben sich aus 361 eingegangenen Bewerbungen aus spezialpräventiver Sicht aufgrund der generellen insgesamt 185 Personen in meinem Hause vorgestellt, Datenschutzsensibilität der 1&1 Telecom GmbH noch aus denen ich über 50 neue Kolleginnen und Kollegen hinreichend wirksam sein. gewinnen konnte. Hierdurch war es mir möglich, von den 324,9 Stellen insgesamt über 250 Stellen zu besetzen. Das Urteil ist inzwischen rechtskräftig Ich bin zuversichtlich, dass ich im kommenden Jahr, Die Erwägungen des Landgerichts zur Bemessung der gerade mit Blick auf die weiteren 23,5 Stellen, die mir Höhe einer Geldbuße unter der DSGVO sind sowohl für der Haushaltsgesetzgeber zugesprochen hat, die meisten die Weiterentwicklung des deutschen Bußgeldkonzeptes noch offenen Positionen in meinem Hause besetzen als auch für die Ausarbeitung von europäischen Buß- können werde. Hierfür habe ich im Jahr 2020 bereits geldleitlinien von besonderem Interesse. Ich habe sie die Weichen gestellt und nach dem Umzug in die Grau­ daher sowohl auf deutscher wie auch auf europäischer rheindorfer Straße wieder vermehrt Studierende und Ebene in die Beratungen mit meinen Schwesterbehör- Referendare eingeladen, ihre praktischen Ausbildungs- den eingebracht und erörtert. Dabei ist mir wichtig, dass zeiten bei mir zu absolvieren, um Nachwuchskräfte zu wir am Ende der Beratungen zu einer deutschland- und interessieren und an mich zu binden. Außerdem erar- europaweit möglichst einheitlichen Vorgehensweise beite ich derzeit ein aktualisiertes und an die moderne gelangen werden. Dies erfordert aber nicht nur die Ver- Arbeitswelt angepasstes Personalentwicklungs- und öffentlichung gemeinsamer Papiere, sondern vor allem Aufstiegskonzept. auch eine entsprechend gelebte Rechtsdurchsetzungs- Zur Gewährleistung einer regelmäßigen und effizienten und Ahndungspraxis. Datenschutzaufsicht wurde meine Dienststelle als Kon- trollorgan der Sicherheitsbehörden und Nachrichten- 10.3 Personalentwicklung im Jahr dienste personell so ausgestattet, dass die verfassungs- gerichtlich geforderte Kompensationsfunktion effizient 2020 erfüllt werden kann. Mit dem personellen Aufwuchs wurde nicht nur eine Neustrukturierung des Bereichs Im Zeitraum 2016 bis 2020 hat der Deutsche Bundestag Polizei und Nachrichtendienste erforderlich, indem aus die dem BfDI zur Verfügung stehenden Planstellen auf den ursprünglich vier Referaten sechs wurden. Sondern 324,9 Stellen fast verdreifacht. Trotz der allgegenwär- es erfolgte auch eine Umbenennung der Gruppen in tigen Corona-Pandemie ist es im Jahr 2020 gelungen, Abteilungen, um eine Angleichung an die bei Bundesmi- ca. 80 Prozent dieser Stellen zu besetzen. Durch das nisterien und anderen Behörden übliche Begrifflichkeit frühe Anwerben von Nachwuchskräften und ein neues herbeizuführen. Ich bin dem Gesetzgeber dankbar, dass geplantes Personalentwicklungs- und Aufstiegskonzept er mich dabei unterstützt, auch weiterhin meine Da- sehe ich mich für die Zukunft gut gewappnet. tenschutzaufsicht zu stärken. Sollten weitere Aufgaben Seit dem 1. Januar 2016 ist der BfDI die jüngste, eigen- zu meinen bisherigen Tätigkeiten hinzukommen oder ständige oberste Bundesbehörde. Zuvor war er Teil des aufgrund der rechtlichen sowie technischen Entwick- Bundesministeriums des Inneren, für Bau und Heimat lung verstärkte Maßnahmen notwendig sein, wäre eine und benötigte weder einen eigenen organisatorischen weitere personelle Stärkung erforderlich. noch personellen Unterbau. Damit meine Arbeitsfä- higkeit sichergestellt ist, bedarf es einer ausreichen- den organisatorischen und personellen Ausstattung. Hatte meine Dienststelle im Jahr 2016, dem Jahr der Verselbständigung, noch 110,5 Planstellen, konnte ich seitdem einen weiteren Stellenaufwuchs auf insgesamt 324,9 Planstellen verzeichnen. Allein für das Jahr 2020 wurden mir vom Haushaltsgesetzgeber für die Aufsicht

98 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 10.4 Die neue Liegenschaft nik entsprechen dem Bedarf an modernen Kommunika- tionsmitteln. Durch den Umzug wurden nun sehr gute Moderne Arbeitsplätze, verbesserte Barrierefreiheit und zukunftsfähige Arbeitsbedingungen für die Beschäf- und Sicherheit – der BfDI hat im Mai 2020 eine neue tigten des BfDI geschaffen. Liegenschaft am Standort Bonn bezogen.

Am 25. Mai 2020 nahm die Hausleitung des BfDI sym- bolisch den Schlüssel für ein neues Dienstgebäude in 10.5 Presse- und Öffentlichkeits- der Graurheindorfer Straße in Bonn entgegen. Nach arbeit einer mehrmonatigen intensiven Umbau- und Umzugs- phase wurde ein wichtiges Ziel planmäßig erreicht: Die Der Informationsbedarf der Öffentlichkeit zu Fragen Zusammenführung aller Arbeitsplätze am Standort Bonn des Datenschutzes und der Informationsfreiheit war in einer modern ausgestatteten Liegenschaft. Die beiden im Jahr 2020 ungebrochen stark. Um dem gesetzli- bisherigen Liegenschaften reichten für den Raumbe- chen Auftrag zur Sensibilisierung und Aufklärung der darf der wachsenden Behörde nicht mehr aus. Bei der Gesellschaft für meine Themen nachzukommen, habe Ausstattung des Gebäudes stand zum einen die Ein- ich deshalb die Presse- und Öffentlichkeitsarbeit weiter haltung der Sicherheitsstandards im Vordergrund: Der ausgebaut. Unter anderem bin ich seit diesem Jahr auch stark wachsende Bereich zur Kontrolle der Polizei und beim dezentralen und besonders datenschutzfreundli- der Nachrichtendienste benötigt besonders gesicherte chen Mikrobloggingdienst Mastodon aktiv. Netze, abhörsichere Räume und strenge Zugangskon­ Pressearbeit trollen. Zum anderen wurde bei den Umbauarbeiten ein besonderes Augenmerk auf die Barrierefreiheit gelegt. Das mediale Interesse an meiner Arbeit ist im Berichts- Hierdurch erhalten Beschäftigte ebenso wie Besuchen- zeitraum weiter gestiegen. Dies zeigt auch die themati- de bestmögliche Voraussetzungen für das Arbeiten sche Vielfalt der Anfragen: und den Aufenthalt in der Dienststelle. Ein weiterer Das größte Interesse galt Datenschutzfragen im Zusam- Schwerpunkt bei der Ausstattung des Gebäudes lag auf menhang mit der Corona-Pandemie. Schon während moderner Informations- und Kommunikationstechnik. der Entwicklungsphase der Corona-Warn-App (vgl. Nr. Besprechungsräume mit aktueller Videokonferenztech- 4.1.1) im Frühjahr wurde ich sehr oft nach meiner Ein-

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 99 schätzung gefragt. Die zweite Welle der Pandemie war meiner Beiträge ist sogar ohne eigene Registrierung bei auch bei den Presseanfragen ab November spürbar, als Mastodon möglich. öffentlichkeitswirksam eine Weiterentwicklung der App Veranstaltungen gefordert wurde. Im Berichtszeitraum konnten aufgrund der Einschrän- Der Themenbereich Datenschutz im Gesundheitswesen kungen durch die Corona-Pandemie keine Präsenzveran- stieß grundsätzlich auf hohes journalistisches Interesse. staltungen mit größerem Teilnehmerkreis durchgeführt Dies lag nicht zuletzt an der Vielzahl der Gesetzesvorha- werden. So musste unter anderen das für September ben in diesem Bereich. Gerade die Einführung der elek- geplante IFG-Symposium in Berlin bedauerlicherweise tronischen Patientenakte (vgl. Nr. 4.2) und das Verhalten genauso abgesagt werden wie eine Fortsetzung der ge- der verschiedenen Akteure in diesem Zusammenhang meinsamen Veranstaltungsreihe mit dem Europäischen warfen neue Fragen auf. Die medizinische Fachpresse Datenschutzbeauftragten in Brüssel. fragte hier nach teilweise sehr detaillierten Informatio- nen. Besuchergruppen

Auch Gesetzesvorhaben außerhalb des Themenbereichs Auch die Besuchergruppen-Betreuung war durch die Gesundheit waren Gegenstand von Presseanfragen, Corona-Pandemie sehr eingeschränkt. Meine Mitar- beispielweise die geplante Registermodernisierung (vgl. beiterinnen und Mitarbeiter betreuten insgesamt vier Nr. 5.1). Gruppen mit bis zu 50 Teilnehmern.

Daneben waren es oft Einzelereignisse, die zu Anfragen Informationsmaterial führten. Hier sind vor allem die Berichterstattung zur Ein Schwerpunkt meiner Öffentlichkeitsarbeit ist nach US-amerikanischen Plattform Clearview, das Urteil des wie vor die Veröffentlichung von Informationen zu Europäischen Gerichtshofs zu Schrems II (s.a. 4.3) und grundsätzlichen sowie aktuellen Themen in den Berei- das Urteil des Bundesverfassungsgerichts zum Bundes- chen Datenschutz und Informationsfreiheit. nachrichtendienst (s.a. 6.3) zu nennen. Die aktuell sechs angebotenen Broschüren richten sich Bei etlichen Anfragen habe ich auf meine zuständigen hauptsächlich an das Fachpublikum. Die 14 verfügbaren Kolleginnen und Kollegen in den Ländern verwiesen, da Flyer richten sich mit ihren vielfältigen und praktischen mich immer wieder Anfragen z. B. zur Deutschen Bahn Themen insbesondere an Bürgerinnen und Bürger. (zuständige Aufsichtsbehörden Berlin und Hessen), zu Neben den regelmäßigen Aktualisierungen dieser beste- Facebook und Google (zuständige Aufsichtsbehörde henden Materialien entwickeln meine Kolleginnen und Hamburg bzw. Irland) und zur SCHUFA (zuständige Kollegen und ich auch regelmäßig neue Konzepte für Aufsichtsbehörde Hessen) erreichen, für die ich keine entsprechende Informationsangebote. rechtliche Zuständigkeit habe. Gleiches gilt für Anfra- gen zu Unternehmen ohne Zentrale oder Hauptsitz in In diesem Zusammenhang habe ich in diesem Jahr die Deutschland, wie beispielsweise PimEyes (zuständige Übersetzung ausgewählter Flyer in unterschiedlichen Aufsichtsbehörde Polen) oder ByteDance bzw. TikTok. Sprachen in Auftrag gegeben. Zudem wurden die Arbei- ten an einem neuen Flyer zur Thematik „Datenschutz Ich habe darüber hinaus im Berichtszeitraum 30 Pres- für Geflüchtete und Asylsuchende“ begonnen. semitteilungen herausgegeben und war zwei Mal zu Gast in der Bundespressekonferenz. Außerdem habe Weiterhin möchte ich meine Beratungs- und Auf- ich zwölf Gastbeiträge bzw. Aufsätze für verschiedene klärungsarbeit insbesondere für Kinder und Eltern Medien verfasst. ausweiten. Dafür entwickle ich gegenwärtig mit dem CARLSEN Verlag ein Pixi-Buch und ein Pixi Wissen, die Social Media für Kinder und ihre Eltern einen Einstieg in das Thema Im Oktober 2020 habe ich eine eigene Instanz des dezen- Datenschutz und Informationsfreiheit bieten sollen. Die tralen Mikrobloggingdienstes Mastodon eingerichtet. ersten Hefte werden im nächsten Jahr erscheinen und Dort betreibe ich einen offiziellen Behörden-Account sollen der Auftakt zu einer neuen Pixi-Reihe werden. (https://social.bund.de/@bfdi). Hiermit möchte ich inte- Obwohl alle aktuellen Publikationen, unter www.bfdi. ressierten Bürgerinnen und Bürger die Möglichkeit zum bund.de/informationsmaterial, als barrierefreie PDF-Do- Gedankenaustausch auf einer datenschutzfreundliche- kumente heruntergeladen werden können, stelle ich ren Alternative zu anderen etablierten Social-Media-An- fest, dass nach wie vor ein ungebrochenes Interesse an geboten geben. Diese können auf Mastodon kommuni- Print-Veröffentlichungen besteht. Daher biete ich im zieren und müssen dabei keine oder nur sehr wenige Rahmen der jeweiligen Verfügbarkeit neben dem Down- personenbezogene Daten preisgeben. Das reine Lesen load auch immer noch die Bestellung von Papierexemp-

100 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 laren an. Beim Versand dieser arbeite ich übrigens seit Gremienarbeit mehreren Jahren mit einer Einrichtung zusammen, die Der Datenschutz erfasst immer mehr Lebensbereiche die Eingliederung von psychisch beeinträchtigen Men- und entfaltet dadurch Wechselwirkungen, die oft über schen in das Arbeitsleben unterstützt. den Zuständigkeitsbereich einer einzelnen Aufsichtsbe- hörde hinausgehen. Zudem erfordert die Datenschutz- 10.6 BfDI in Zahlen grundverordnung (DSGVO) ein europaweit koordiniertes Vorgehen, das mitunter zu einer komplexen Angelegen- In den vorangegangenen Kapiteln habe ich meine wich- heit werden kann. Dies belegt auch das Bestehen von tigsten Tätigkeiten aus dem Jahr 2020 nachgezeichnet. insgesamt 66 nationalen und internationalen Arbeits- Daneben ist meine Tätigkeit aber auch ganz allgemein gremien, in denen der BfDI vertreten ist. Bei gut einem von den zahlreichen Anfragen und Beschwerden von Drittel dieser Gremien habe ich (teils auch zeitweise) Bürgerinnen und Bürgern, der Aufsicht über datenver- besondere Verantwortung in den Funktionen als Vorsit- arbeitende Stellen und der Beratung verschiedenster zender bzw. Berichterstatter übernommen. Institutionen geprägt. An dieser Stelle möchte ich an- In diesem Zusammenhang hat meine Behörde an knapp hand der wichtigsten Zahlen auch hierzu einen kurzen 350 Sitzungen teilgenommen und dabei sieben Ent- Überblick geben. schließungen eingebracht, davon fünf auf nationaler und je eine auf europäischer und internationaler Ebene.

Mitarbeit in nationalen und internationalen Gremien

2

17

Einfache Teilnahme Vorsitz National Berichterstatter Europa Vorsitz International

5 42

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 101 Beschwerden und allgemeine Anfragen Eine Anfrage ist dann eine Beschwerde, wenn die betroffene Person annimmt, sie sei bei der Erhebung, Im Jahr 2020 richteten Bürgerinnen und Bürger ins- Verarbeitung oder Nutzung ihrer persönlichen Daten gesamt 7.878 Beschwerden und Anfragen an mich. Im in ihren Rechten verletzt worden. Das Beschwerderecht Vergleich zum Vorjahr, als ich 7.489 Eingänge verzeich- ist sowohl in der DSGVO als auch in Spezialgesetzen nen konnte, war also ein etwas stärkeres Interesse am geregelt. Datenschutz zu verzeichnen.

Beschwerden und Anfragen

6.000 60

5.000 50

4.000 40

3.000 30 56 4.897 4.280 44 44 2.000 20 39 3.118 2.861 25 1.000 10 3 0 0 Allgemeine Beschwerden Beschwerden Beschwerden Eingaben gegen Anfragen Art. 77 DSGVO Art. 80 DSGVO § 60 BDSG Nachrichtendienste

2019 2020 2019 2020

Beratung und Kontrolle eingeschränkt. Dies hat sich auch auf meine Kontroll- praxis ausgewirkt. Trotzdem konnten im Berichtszeit- Ein wichtiger Teil meiner Arbeit ist die Beratung von ver- raum noch 88 Beratungen und Kontrollen durchgeführt antwortlichen Stellen und betroffenen Personen. Neben werden. Um hier meiner gesetzlichen Aufgabe unter den 4.897 allgemeinen Anfragen konnte ich in 7.212 Fällen besonderen Bedingungen einer Pandemie gerecht zu telefonisch beraten. werden, habe ich vermehrt auch auf alternative Metho- Die Möglichkeit für Vor-Ort-Termine war im Berichtsjahr den wie schriftliche Kontrollen zurückgegriffen. durch die Auswirkungen der Corona-Pandemie stark

Beratungen und Kontrollen von beaufsichtigten Stellen

140

120

100

80

60 124 102 97 88 40 84 69 20

0 2015 2016 2017 2018 2019 2020

102 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Meldungen von Datenschutzverstößen Förmliche Begleitung bei Rechtsetzungsvorhaben

Sämtliche öffentlichen und nicht-öffentlichen Stellen Gemäß § 45 der Gemeinsamen Geschäftsordnung müssen gegenüber der zuständigen Aufsichtsbehörde der Bundesministerien (GGO) hat das federführende Datenschutzverstöße melden. Ich habe im Berichtszeit- Bundesministerium mich bei der Erstellung von Ge- raum 10.024 entsprechende Meldungen erhalten. setzesvorlagen frühzeitig zu beteiligen, soweit dadurch meine Aufgaben berührt werden. Im Berichtszeitraum Besonders viele Meldungen gingen im Jahr 2020 von wurde ich in 423 Fällen nach § 21 GGO eingebunden. Die Finanzämtern, Jobcentern und Telekommunikationsun- deutliche Steigerung gegenüber dem vorangegangenen ternehmen ein. Berichtszeitraum (273 Beteiligungen im Jahr 2019) hängt auch mit der gesteigerten gesetzgeberischen Tätigkeit Meldungen von 2019 2020 durch die Corona-Pandemie zusammen. Datenschutzverstößen Darüber hinaus habe ich zu 31 Dateianordnungen, vier Verfahren des Bundesverfassungsgerichts und sieben Art. 33 DSGVO 14.649 9.985 EU-Rechtsakten Stellung genommen. Außerdem habe § 65 BDSG 0 2 ich bei fünf öffentlichen Anhörungen im Deutschen Bundestag und bei drei Anhörungen der Bundesregie- § 109 a Absatz 1 TKG 40 37 rung meine Expertise einbringen können.

Beteiligungen nach § 21 GGO

2019 143 66 56 8

2020 178 156 61 28

050 100 150 200250 300350 400450

Gesetzgebung Richtlinien Verordnungen Sonstige Verfahren

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 103 11 BfDI als zentrale Anlaufstelle (ZASt)

11.1 Stärkung der Zentralen Die wichtigsten Anpassungsbedarfe betreffen die Rolle Anlaufstelle der ZASt bei den freiwilligen Amtshilfeverfahren (vgl. u. Nr. 11.2), den schriftlichen Verfahren des Europäischen Die Aufsichtsbehörden des Bundes und der Länder be- Datenschutzausschusses (EDSA) (vgl. u. Nr. 11.2) sowie stätigen den eingeschlagenen Weg zur Zusammenarbeit bei der Zusammenarbeit mit meiner vom Bundesrat zu mit der beim BfDI eingerichteten Zentralen Anlaufstelle wählenden Vertretung im EDSA. (ZASt) in EU-Angelegenheiten und vertrauen ihr weitere Die Vertretung Deutschlands im EDSA obliegt mir als wichtige Koordinierungsaufgaben an. gemeinsamen Vertreter sowie einer vom Bundesrat aus Der BfDI und die Aufsichtsbehörden der Länder arbeiten dem Kreise der Leitungen der Aufsichtsbehörden der in EU Angelegenheiten mit dem Ziel einer einheitlichen Länder zu wählenden Stellvertretung (§ 17 Abs. 1 BDSG). Anwendung der Datenschutz-Grundverordnung (DSGVO) In dieser wichtigen und verantwortungsvollen Rolle und der Richtlinie für den Datenschutz im Polizei ist es Aufgabe der Stellvertretung, zusammen mit mir und Justizbereich (JI-Richtlinie) zusammen. Die ZASt möglichst im Einvernehmen gemeinsame Standpunkte fungiert hier als Schnittstelle und stellt die wirksame für die Verhandlungsführung im EDSA vorzuschlagen. Beteiligung der nationalen Aufsichtsbehörden sowie die Zudem wird der Stellvertretung in bestimmten Länder- rasche und reibungslose Zusammenarbeit auf europä- angelegenheiten das Stimmrecht im EDSA übertragen. ischer Ebene sicher. Diese Zusammenarbeit zwischen Leider hat der Bundesrat bis heute noch keine Person den Aufsichtsbehörden des Bundes und der Länder für das Amt der Stellvertretung gewählt. Obwohl deshalb und der ZASt richtet sich nach Erwägungsgrund 119 zu praktische Erfahrungen zur Zusammenarbeit bislang Art. 51 DSGVO sowie den §§ 17 f. Bundesdatenschutzge- fehlen, wurde der ZASt durch die DSK eine wichtige setz (BDSG) und wurde im so genannten ZASt-Konzept Rolle bei der Koordinierung zwischen gemeinsamen näher ausgestaltet. Dieses von der Datenschutzkonfe- Vertreter und künftiger Stellvertretung zugewiesen, ins- renz (DSK) am 23. April 2018 verabschiedete Regelwerk besondere soweit dies für die Herstellung gemeinsamer wurde nach gut zwei Jahren einer ersten Evaluierung Standunkte erforderlich ist. unterzogen. Im Hinblick auf die weiterhin dynamische Entwicklung Der Evaluierungsbericht gelangte zu dem Schluss, dass der europäischen Prozesse der Zusammenarbeit und sich das ZASt-Konzept mit seinen Regeln zur Zusammen- darauf, dass hinreichende Erfahrungswerte bei einigen arbeit zwischen der ZASt und den Aufsichtsbehörden Verfahrensarten der DSGVO bislang noch nicht gesam- von Bund und Ländern grundsätzlich gut bewährt hat. melt werden konnten, wurde eine erneute Evaluierung Punktueller Anpassungsbedarf beruht größtenteils spätestens nach drei weiteren Jahren vereinbart. darauf, dass es zwischenzeitlich Entwicklungen auf Auf Grundlage des Evaluierungsberichts hat die DSK im EU-Ebene gab, die Auswirkungen auf die nationale November 2020 einstimmig das neue ZASt-Konzept be- Zusammenarbeit haben. Zudem wurden verschiedene schlossen und damit den Weg für eine weiterhin erfolg- Verfahrens- und Zuständigkeitsfragen zwischenzeitlich reiche und vertrauensvolle Zusammenarbeit geebnet. von der DSK und ihren Arbeitskreisen entschieden. Um der Rolle als zentrales Regelwerk zur Zusammenarbeit Querverweis: weiterhin gerecht zu werden, wurde das ZASt-Konzept 11.2 Statistischer Überblick über die Verfahren der um die betreffenden Beschlüsse und Abreden ergänzt Zusammenarbeit und Kohärenz auf europäischer Ebene sowie auf die nunmehr weitgehend eingeübten Prozesse aus Sicht der ZASt angepasst.

104 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 11.2 Statistischer Einblick in die sen. Seit Anwendungsbeginn der DSGVO im Mai 2018 Arbeit der ZASt im Rahmen der verschieben sich die Schwerpunkte der Bearbeitung zunehmend von formellen Fragen hin zur inhaltlichen Verfahren der Zusammenarbeit Befassung. und Kohärenz auf europäischer Der erste formelle Schritt der grenzüberschreitenden Ebene Fallbearbeitung ist das Verfahren zur Identifikation der federführenden Aufsichtsbehörde sowie der betroffenen Die grenzüberschreitende Fallbearbeitung nimmt Fahrt Aufsichtsbehörden nach Art. 56 DSGVO (56ID). Nachdem auf. Erste Erfolge, aber auch Herausforderungen bei 543 dieser Verfahren im Jahr 2018 (25. Mai bis 31. De- der Zusammenarbeit im EDSA zeichnen sich ab. zember) und 798 Verfahren im Jahr 2019 eingeleitet wur- Verantwortungsübernahme im One-Stop-Shop- den, waren dies im Jahr 2020 nur noch 742 Verfahren. Verfahren der DSGVO Insgesamt existieren derzeit 2083 Verfahren nach Art. 56 Die Bearbeitung von grenzüberschreitenden Fällen DSGVO zur Bestimmung der federführenden und der durchläuft bei der Zusammenarbeit der europäischen betroffenen Aufsichtsbehörden. Dabei trägt die feder- Datenschutzaufsichtsbehörden verschiedene Pha- führende Aufsichtsbehörde die Hauptverantwortung

Entwicklung der freiwilligen Amtshilfeverfahren mit deutscher Beteiligung

855

590

24

2018 2019 2020

und wird von den jeweils betroffenen Aufsichtsbehörden zuständig erklärt hat. Gemessen an der Gesamtzahl der konstruktiv-kritisch begleitet sowie unterstützt mit dem angelegten Fälle konnte die federführende Aufsichts- Ziel einer EU-weit harmonischen Rechtsanwendung. behörde bereits in einem Großteil bestimmt werden, sodass die inhaltliche Bearbeitung erfolgen kann. In mittlerweile 1499 dieser Fälle wurde die federführen- de Aufsichtsbehörde bereits identifiziert, indem sie sich Der Übergang zur inhaltlichen Bearbeitung wird auch im Binnenmarktinformationssystem (englisch: Internal durch die stark gestiegene Anzahl der Verfahren der Market Information System – kurz IMI), dem IT-Tool zur freiwilligen Amtshilfe nach Art. 61 DSGVO belegt. Diese europäischen Verwaltungszusammenarbeit, offiziell für Verfahren werden hauptsächlich für zwei Anwendungs-

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 105 Anzahl 56ID und festgestellte federführende Aufsichtsbehörden seit DSGVO

2.500

2.000

1.500

2.083 1.000

1.499

500

0 56ID festgestellte federführende (exklusiv zurückgezogene Verfahren) Aufsichtsbehörden

fälle genutzt: In ca. 10 Prozent der Fälle geht es um einem Mehraufwand, da jede einzelne Aufsichtsbehörde allgemeine Rechtsfragen, zu denen die Anwendungs- jeweils für sich klären musste, ob sie zuständig ist. An- praxis oder rechtliche Expertise der Aufsichtsbehörden dererseits hatten alle deutschen Aufsichtsbehörden un- abgefragt wird. Die überwiegende Anzahl der Verfahren abhängig von ihrer Zuständigkeit gleichermaßen Zugriff werden jedoch für fallbezogene Anfragen genutzt. Dies auf die Inhalte der Verfahren und die darin enthaltene kann beispielsweise eine Anfrage einer betroffenen Kommunikation, was bereits auf europäischer Ebene Aufsichtsbehörde an die federführende Aufsichtsbehör- aus Datenschutzgründen bemängelt wurde. de bezüglich des Bearbeitungsstands sein oder die Bitte Aufgrund Abstimmung in der DSK nimmt seit dem einer federführenden Aufsichtsbehörde an die betroffe- 24. April 2020 zunächst alleine die ZASt die Verfahren ne Aufsichtsbehörde um Übermittlung der im Rahmen zur freiwilligen Amtshilfe entgegen und verteilt diese der Beschwerde eingereichten Dokumente. zielgerichtet an die Empfängerbehörden in Deutsch- Das Jahr 2020 war für die ZASt mit neuen Herausforde- land. Dabei erfolgt durch die ZASt keine verbindliche rungen und Aufgaben verbunden Zuständigkeitsprüfung, sondern nur eine vorläufige Zuordnung, die dann von der jeweiligen Aufsichtsbehör- Im Zusammenhang mit den zuvor betrachteten freiwilli- de geprüft und erforderlichenfalls in Absprache mit der gen Amtshilfeverfahren hat die ZASt von der DSK zudem ZASt angepasst wird. Dies führt neben einer erheblichen eine neue Rolle zugewiesen bekommen. administrativen Entlastung der einzelnen Aufsichtsbe- Anfang Dezember 2019 gab es eine technische Um- hörden auch zu einem erhöhten Datenschutzniveau, da stellung im IMI, die es ermöglichen sollte, freiwillige nur noch die wirklich beteiligten Aufsichtsbehörden die Amtshilfeverfahren parallel an mehrere Empfänger aus erforderlichen Zugriffe auf mit dem Fall verbundene unterschiedlichen Mitgliedstaaten des europäischen personenbezogene Daten erhalten. Wirtschaftsraums versenden zu können. Damit einher Seit der Umstellung hat die ZASt diese neue Aufgabe ging allerdings die Nebenwirkung, dass freiwillige Amts- bereits in 329 Fällen ausgeführt. Die eingehenden allge- hilfeersuchen nur noch an Mitgliedstaaten insgesamt meinen Rechtsfragen werden von der ZASt in der Regel adressiert werden konnten und nicht mehr an einzelne für eine abgestimmte und koordinierte deutsche Beant- Aufsichtsbehörden des Bundes und der Länder. Folge wortung einem der Arbeitskreise der DSK übermittelt. war, dass die an Deutschland gerichteten Ersuchen zunächst von allen 18 deutschen Aufsichtsbehörden Wie in allen anderen Bereichen des Lebens stellte empfangen wurden, obwohl diese häufig nur an eine zudem die COVID-19-Pandemie auch die Zusammenar- dieser Stellen gerichtet waren. Dies führte einerseits zu beit der europäischen Datenschutzaufsichtsbehörden

106 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 vor neue Herausforderungen. Aufgrund der nicht mehr bung noch arbeitseffizienter und sicherer durchgeführt möglichen Präsenztagungen des EDSA ab März 2020 werden können. wurde von der in dessen Geschäftsordnung vorgesehe- Vermehrter Abschluss von Verfahren im One-Stop- nen Möglichkeit zur Entscheidungsfindung im schriftli- Shop-Verfahren chen Verfahren merklich häufiger Gebrauch gemacht. Das Jahr 2020 markiert insofern eine Zäsur, als dass Zur Vorbereitung des Abstimmungsverhaltens im EDSA die Anzahl der Beendigung von Datenschutzverfahren ist es bei schriftlichen Verfahren Aufgabe der ZASt, die durch abschließende Entscheidung der federführenden Herstellung eines gemeinsamen Standpunktes zwischen Aufsichtsbehörde unter Beteiligung der betroffenen Auf- den Aufsichtsbehörden des Bundes und der Länder nach sichtsbehörden nach Art. 60 DSGVO (60FD) kontinuier- § 18 Bundesdatenschutzgesetz (BDSG) zu koordinieren. lich steigt, die Anzahl der 56er-Verfahren im Jahre 2020 Während diese Aufgabe im Jahr 2018 sechs Mal und im jedoch erstmalig (leicht) rückläufig ist (siehe Abbildung Jahr 2019 lediglich vier Mal zu verrichten war, führten „Entwicklung der Verfahren 56ID und 60FD“). Neben die Auswirkungen der COVID-19-Pandemie im Jahr 2020 dem formellen Abschluss im Verfahren nach Art. 60 DS- zu einem erheblichen Anstieg auf 47 schriftliche Verfah- GVO wurden zudem eine Reihe grenzüberschreitender ren des EDSA. Fälle durch sogenannte gütliche Einigungen („amicable Zur Optimierung dieses in Europa einzigartigen internen settlement“) zwischen den verantwortlichen Stellen und Abstimmungsprozesses wurde auf Anregung der ZASt den Beschwerdeführenden beendet. Nicht unproblema- im Jahr 2020 begonnen, ein neues, auf die Bedürfnisse tisch an dieser Art der Verfahrensbeendigung ist, dass der deutschen Aufsichtsbehörden zugeschnittenes Mo- die federführende Aufsichtsbehörde die betroffenen dul im IMI zu konzipieren. Hierbei arbeitet die ZASt eng Aufsichtsbehörden hierbei häufig nicht beteiligt. mit den deutschen Aufsichtsbehörden, dem EDSA-Sekre- Die deutschen Aufsichtsbehörden sind im europäischen tariat und der für das IMI-System insgesamt verantwort- Abstimmungsprozess stark gefordert: Wie die letzte lichen Europäischen Kommission zusammen. Durch das Abbildung dieses Kapitels zeigt, übernimmt Deutschland neue Modul wird das deutschlandinterne Abstimmungs- am dritthäufigsten die Rolle als federführende Aufsichts- verfahren künftig in einer medienbruchfreien Umge- behörde und hat bereits zu 52 von diesen 176 Fällen

Entwicklung der Verfahren 56ID und 60FD

742 2020 89

798 2019 77

543 2018 2

04100 200 300 00 500600 700800

56ID (exklusiv zurückgezogene Verfahren) 60FD (exklusiv zurückgezogene Verfahren)

einen verfahrensbeendenden Beschluss vorgelegt. Nach zum Abschluss gebracht. Dazu kommt eine Reihe von dem endgültigen Ausscheidens Großbritanniens aus der Verfahrensbeendigungen, die die irische Aufsichtsbehör- grenzüberschreitenden Fallbearbeitung nach DSGVO zum de im Wege gütlicher Einigung herbeigeführt hat. Ende des Jahres 2020 bearbeitet einzig Irland noch mehr Fälle in federführender Rolle als Deutschland. Allerdings wurden bei 196 Fällen mit festgestellter irischer Federfüh- rung bislang nur vier Fälle durch verfahrensbeendenden Beschluss im förmlichen Verfahren nach Art. 60 DSGVO

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 107 Festgestellte federführende Aufsichtsbehörde und Anzahl deren 60FD seit DSGVO-Einführung

200

180

160

140

120

100

80

60

40

52

20 44 21 16 0 00 992 8 66118 5500320 1 0 1000 0 4 a g n ei al rn ein le n t tien land pern alien auen arien tlan d Malt anie n Po rreich Irland Island ns oa It wege Zy ortug Un ga Es Belgien Lit te Sp Lett Kr P ankreich Finnland Slowak önigreich Bulg schechien Rumänien Nor Schweden Ös Dänemark Slowenien Fr T Luxembur Niederland e Deutschland es K Griechenland Liech te ereinigt V

Festgestellte federführende Aufsichtsbehörde Abgeschlossene Verfahren durch Beschluss (60FD)

Es ist davon auszugehen, dass die Anzahl der 56er-Ver- fahren auch im Jahr 2021 zurückgehen und die Anzahl der abschließenden Entscheidungen nach Art. 60 DSGVO weiter steigen werden. Mit Spannung darf erwartet werden, wie die Fallbearbeitungen zu den Datenverar- beitungen großer, global agierender Internetkonzerne fortschreiten, die häufig in Irland und Luxemburg ihren europäischen Hauptsitz haben.

108 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 12 Und dann war da noch…

12.1 Die Sache mit den Memes BfDI vs. Weihnachtsmann Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) berät unter anderem die Bundesregierung bei datenschutzrechtlich relevanten Gesetzgebungsverfahren. Wie er dabei einzubinden ist und welche Einwirkungsmöglichkeiten er hat, scheint leider nicht allen Beteiligten immer ganz klar zu sein …

Seit der BfDI im Jahre 2016 aus dem Bundesministerium­ des Inneren herausgelöst und als eigenständige oberste Bundesbehörde institutionalisiert wurde, ist er auch for- mell kein Verfassungsorgan mehr. Eine meiner wesent- lichsten Aufgaben, die Beratung der Verfassungsorgane bei Gesetzgebungsverfahren mit datenschutzrechtlichen Auswirkungen, nehme ich – wie auch schon in all den Und leider ist es der Bundesregierung bis heute nicht Jahren vor seiner Unabhängigkeit - nach wie vor unver- gelungen, dieses Problem konsequent in den Griff ändert wahr. zu kriegen. Auch in diesem Berichtszeitraum gab es Damit ich meine Beratungsfunktion beispielsweise zahlreiche Beispiele, in denen ich Gesetzesentwürfe erst gegenüber der Bundesregierung effektiv wahrnehmen mit oder nach der öffentlichen Beteiligung von Verbän- kann, ist in der Gemeinsamen Geschäftsordnung der den erhalten habe. Oder Fälle, wo ich im Verlauf einer Bundesministerien (GGO) in § 21 festgelegt, dass der Ressortbeteiligung, in der ich bereits Stellung genom- BfDI frühzeitig in alle für ihn relevante Vorhaben der men habe, aus unerklärlichen Gründen auf einmal nicht Regierung einzubinden ist. Das war schon immer so, mehr auf dem E-Mailverteiler stand und dann von einem auch vor 2016. Leider war es auch schon immer so, dass Kabinettsentwurf überrascht wurde, der 40 Seiten länger die in der GGO festgeschriebene Einbindung immer mal als der mir bekannte erste Referentenentwurf war. wieder „vergessen“ wurde oder jedenfalls alles andere als frühzeitig erfolgte.

BfDI vs. Batman BfDI vs. Harry Potter

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 109 BfDI vs. Indiana Jones BfDI vs. Breaking Bad

Natürlich sind das meist unglückliche Zufälle, die grund- Umso überraschender war es daher, dass dem Ministe- sätzlich nichts damit zu tun haben, dass Gesetzentwürfe rium meine Rolle und Funktion auf einmal urplötzlich datenschutzrechtlich etwas problematischer sind. Honi entfallen ist, als es darum ging, meine Kritik an Teilen soit qui mal y pense! des PDSG gegenüber der Presse zu kommentieren. Dort fanden sich mehrfach Aussagen wie: „Außerdem war Vor diesem Hintergrund sollte man bedenken, dass es der BfDI selbst in die fachlichen Diskussionen eingebun- einen freuen müsste, wenn sich ein Ministerium auf ein- den und hat an der Erarbeitung der Regelungen mitge- mal ganz genau daran erinnert, dass und wie der BfDI in wirkt.“ Gesetzgebungsverfahren zu beteiligen ist. Daher habe ich das Bundesministerium für Gesundheit (BMG) im Da Gesetzestexte und ähnliche Regelungen oft komplex Gesetzgebungsverfahren auch über einen langen Zeit- formuliert sein können und ich meine Beratungsfunkti- raum und ausführlich zum Patientendaten-Schutz-Ge- on gegenüber der Bundesregierung als umfassend ver- setz (PDSG) beraten (vgl. Nr. 4.2). stehe, habe ich versucht, die Einwirkungsmöglichkeiten des BfDI u.a. bei Gesetzgebungsverfahren noch einmal Nun ist es so, dass ich – anders als die Ministerien –im mit verständlichen Vergleichen graphisch in Memes auf- Rahmen von Ressortabstimmungen kein Vetorecht zubereiten und über Twitter sowie Mastodon zu teilen. habe. Hierfür gab es noch nie eine gesetzliche Grundla- ge. Sowohl die Bundesregierung als auch erst recht der Eine Auswahl dieser Memes möchte ich an dieser Stelle Gesetzgeber haben die Freiheit, meine Empfehlungen zu mit Ihnen teilen. ignorieren. Dieser Umstand ist logischerweise auch dem Querverweis: BMG bekannt, das sich im o.g. Verfahren dazu entschie- den hatte, einigen meiner Empfehlungen, insbesondere 4.2 Das Patientendaten-Schutz-Gesetz im Zusammenhang mit der elektronischen Patientenak- te, nicht zu folgen. Das ist zwar schade, allerdings auch sein gutes Recht.

110 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 111 Themenzuordnung nach Bundestagsausschüssen

Ausschuss für Arbeit und Soziales 5.10 Aktuelle Gesetzgebung und sonstige Regelun- gen im Telekommunikationsbereich 5.8 Die Grundrente kommt – aber auch daten- schutzgerecht? 7.8 Microsoft, der Datenschutz und die digitale Souveränität 7.2 Interdisziplinärer Beirat Beschäftigtendaten- schutz 7.9 Künstliche Intelligenz - Fortschritt

7.10 Zertifizierung und Akkreditierung – erste Ver- Auswärtiger Ausschuss fahren starten 3.3 Global Privacy Assembly Ausschuss für Ernährung und Landwirtschaft 7.12 Folgen des Brexit 8.2.1 Streit um die Veröffentlichung einer Stellung- Ausschuss für Bau, Wohnen, Stadtentwicklung und nahme zu Glyphosat: Berechtigter Schutz Kommunen geistigen Eigentums oder Zensur?

8.1.4 Informationsfreiheitsgesetz des Bundes gilt Ausschuss für Angelegenheiten der Europäischen nicht für der Deutschen Städtetag Union

Ausschuss für Bildung, Forschung und Technikfolgen- 7.12 Folgen des Brexit abschätzung Ausschuss für Familie, Senioren, Frauen und Jugend 7.5 Anonymisierung - Eine Standortbestimmung zwischen der DSGVO und dem TKG 5.9 Das Digitale Familienleistungen-Gesetz

Ausschuss Digitale Agenda Finanzausschuss

3.1.3 Datensouveränität 6.8 Neugestaltung des Informationsverbund FIU 2.0

3.2.2 Abschluss Evaluierung DSGVO: Die erste 6.9 Datenschutzverstoß im Bereich der Zollfahn- Runde ist abgeschlossen dung

3.3 Global Privacy Assembly 6.10 Beschäftigtendatenschutz in der Zollverwal- tung 4.1.1 Die Corona-Warn-App der Bundesregierung

4.1.2 Die Datenspende-App Ausschuss für Gesundheit

4.1.6 Messenger und Videokonferenzsysteme – 3.1.1 Entschließung zum Patientendaten-Schutz- Fluch und Segen in Corona-Zeiten Gesetz

4.2 Das Patientendaten-Schutz-Gesetz 4.1.1 Die Corona-Warn-App der Bundesregierung

5.2 Die Digitalisierung der Verwaltung schreitet 4.1.2 Die Datenspende-App voran 4.1.3 Corona-Maßnahmen und -Projekte 5.6 Die Verordnung zu den „Apps auf Rezept“ 4.1.4 Änderungen des Infektionsschutzgesetzes

112 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 4.1.5 Schutzmaske nur gegen Daten? 8.1.3 Zugang zum Verzeichnis von Verarbeitungs­ tätigkeiten 4.2 Das Patientendaten-Schutz-Gesetz 8.1.4 Informationsfreiheitsgesetz des Bundes gilt 5.6 Die Verordnung zu den „Apps auf Rezept“ nicht für der Deutschen Städtetag 5.7 Datentransparenzverordnung 8.2.2 Was gilt? Das Parteiengesetz oder das Informa- 7.13 Neue Entwicklungen in der Forschung mit tionsfreiheitsgesetz? Gesundheitsdaten 8.2.3 Social-Media und die Informationsfreiheit 7.14 Berichtigung von Diagnosedaten 9.4 Beratungs- und Kontrollbesuche zur Anwen- 7.15 Das Krankengeldfallmanagement – Kein Kon- dung des Informationsfreiheitsgesetzes sens über den Umfang der Datenerhebungsbe- 9.5.1 Kontrollen und Beanstandungen im Bereich fugnisse der Krankenkassen des Bundesamtes für Verfassungsschutz 8.1.1 Informationsfreiheit in der Pandemie 9.5.2 Kontrolle der Anti-Terror-Datei

Haushaltsausschuss 9.5.3 Das Vorgangsbearbeitungssystem beim BKA

7.7 IT-Konsolidierung Bund 10.2 Urteil des Landgerichts Bonn bestätigt Rechts- auffassung des BfDI 10.3 Personalentwicklung im Jahr 2020

10.4 Die neue Liegenschaft Ausschuss für Menschenrechte und humanitäre Hilfe

3.3 Global Privacy Assembly Ausschuss für Inneres und Heimat

3.2.2 Abschluss Evaluierung DSGVO: Die erste Runde Ausschuss für Recht und Verbraucherschutz ist abgeschlossen 4.1.6 Messenger und Videokonferenzsysteme – 5.1 Registermodernisierung Fluch und Segen in Corona-Zeiten

5.2 Die Digitalisierung der Verwaltung schreitet 4.1.7 Zustellung von Paketen unter Pandemie­ voran bedingungen

5.3 IT-Sicherheitsgesetz 2.0 5.10 Aktuelle Gesetzgebung und sonstige Regelun- gen im Telekommunikationsbereich 5.4 Novellierung des Gesetzes über den Bundes- nachrichtendienst 6.1 Polizei 2020

5.5 Gesetzgebungsverfahren zur Änderung des 6.4 Haber-Verfahren Verfassungsschutzrechts 7.4 Nachbessern, aber bitte richtig – der zweite 5.9 Das Digitale Familienleistungen-Gesetz Beschluss des Bundesverfassungsgerichts zur Bestandsdatenauskunft 6.1 Polizei 2020 7.5 Anonymisierung - Eine Standortbestimmung 6.2 Einheitliches Fallbearbeitungssystem zwischen der DSGVO und dem TKG 6.4 Haber-Verfahren 8.1.2 Was ist eigentlich ein Geschäftsgeheimnis? 6.5 Sicherheitsüberprüfung von Bewerberinnen 8.2.1 Streit um die Veröffentlichung einer Stellung- und Bewerbern der Nachrichtendienste nahme zu Glyphosat: Berechtigter Schutz 6.11 Beschäftigtendatenschutz in der Zollverwal- geistigen Eigentums oder Zensur? tung 8.2.2 Was gilt? Das Parteiengesetz oder das Informa- 6.12 Geschützter Grenzfahndungsbestand tionsfreiheitsgesetz?

7.4 Nachbessern, aber bitte richtig – der zweite 9.5.3 Das Vorgangsbearbeitungssystem beim BKA Beschluss des Bundesverfassungsgerichts zur 10.2 Urteil des Landgerichts Bonn bestätigt Rechts- Bestandsdatenauskunft auffassung des BfDI 8.1.1 Informationsfreiheit in der Pandemie

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 113 Verteidigungsausschuss

9.3 Änderung der Organisation des behördlichen Datenschutzes im Bundesministerium der Verteidigung

9.5.2 Kontrolle der Anti-Terror-Datei

Ausschuss für Wahlprüfung, Immunität und Geschäfts- ordnung

7.1 Datenschutzaufsicht im parlamentarischen Bereich

8.2.2 Was gilt? Das Parteiengesetz oder das Informa- tionsfreiheitsgesetz?

Ausschuss für Wirtschaft und Energie

4.1.2 Die Datenspende-App

4.1.6 Messenger und Videokonferenzsysteme – Fluch und Segen in Corona-Zeiten

4.1.7 Zustellung von Paketen unter Pandemie­ bedingungen

4.1.8 Programme für Sofort- bzw. Überbrückungs- hilfen des Bundes im Zusammenhang mit der Corona-Pandemie

5.10 Aktuelle Gesetzgebung und sonstige Regelun- gen im Telekommunikationsbereich

7.5 Anonymisierung - Eine Standortbestimmung zwischen der DSGVO und dem TKG

7.12 Folgen des Brexit

8.1.2 Was ist eigentlich ein Geschäftsgeheimnis?

9.1 Fragenbogenkontrolle zur Authentifizierung bei Call-Centern

9.2 Fragebogenkontrolle Handscanner

10.2 Urteil des Landgerichts Bonn bestätigt Rechts- auffassung des BfDI

114 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Anlagen

Bundesanstalt für Finanzdienstleistungen Anlage 1 Bundesinstitut für Arzneimittel und Medizinprodukte Kontrollen, Beratungs- und Bundeskriminalamt Informationsbesuche Bundesnachrichtendienst

Bundespolizei 1&1 Drillisch AG incl. aller Konzernmarken Bundeswehr, Assessmentcenter für Führungskräfte Amazon Deutschland E1 Transport GmbH Bundeszentrale für politische Bildung Amazon Deutschland E2 Transport GmbH Deutsche Rentenversicherung Bund Amazon Deutschland E3 Transport GmbH Deutsche Telekom AG incl. aller Konzernmarken Amazon Deutschland E4 Transport GmbH Deutsche Welle Amazon Deutschland E5 Transport GmbH DHL Paket GmbH Amazon Deutschland N1 Transport GmbH DPD Deutschland GmbH Amazon Deutschland N2 Transport GmbH Drillisch Online GmbH Amazon Deutschland N3 Transport GmbH Ein Unternehmen im Rahmen des Sicherheitsüberprü- Amazon Deutschland N6 Transport GmbH fungsgesetzes* Amazon Deutschland N7 Transport GmbH EWE-TEL GmbH Amazon Deutschland S3 Transport GmbH Freenet AG incl. aller Konzernmarken Amazon Deutschland S4 Transport GmbH General Logistics Systems Germany GmbH & Co. OHG Amazon Deutschland Transport GmbH Generalzolldirektion Amazon Deutschland W1 Transport GmbH Hanse-Jobcenter-Rostock Amazon Deutschland W2 Transport GmbH Hermes Germany GmbH Amazon Deutschland W4 Transport GmbH Jobcenter Berlin Friedrichshain-Kreuzberg Amazon Deutschland W5 Transport GmbH Jobcenter Bremen Amazon Deutschland W7 Transport GmbH Jobcenter Dresden Amazon Logistik Westfalenhuette GmbH Jobcenter Erfurt Bundesamt für den Militärischen Abschirmdienst Jobcenter Kaiserslautern Stadt Bundesamt für die Sicherheit der nuklearen Entsorgung Jobcenter Kiel Bundesamt für Verfassungsschutz Jobcenter Köln

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 115 Jobcenter Landeshauptstadt Potsdam SSY Transport und Personalleasing GmbH

Jobcenter Landkreis Diepholz Statistisches Bundesamt

Jobcenter Landkreis Kaiserslautern Technisches Hilfswerk

Jobcenter Landkreis Karlsruhe Tele Columbus AG

Jobcenter Magdeburg Telefónica Germany GmbH & Co. OHG incl. aller Kon- zernmarken Jobcenter Mainz United Parcel Service Deutschland S.à.r.l. & Co. OHG Jobcenter Mannheim Unitymedia GmbH incl. aller Konzernmarken Jobcenter München Vodafone GmbH incl. aller Konzernmarken Jobcenter Region Hannover Zentralstelle für Finanztransaktionsuntersuchungen Jobcenter Regionalverband Saarbrücken Zollfahndungsamt Frankfurt Jobcenter Stadt Kassel Zollkriminalamt Jobcenter team.arbeit.hamburg

Jobcenter Vorpommern-Greifswald Nord

Jobcenter Zollernalbkreis Einige Stellen wurden mehr als einmal besucht/kontrol- KEVAG Telekom GmbH liert Lycamobile Germany GmbH

M-net Telekommunikations GmbH * Der Name darf aus sicherheitspolitischen Gründen NetCologne Gesellschaft für Telekommunikation mbH nicht genannt werden

116 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Anlage 2 Beanstandung wegen Auskunftsverlangens des BKA vom 5. November 2019, Rechtmäßigkeit von Bestandsdaten- Übersicht über Anweisungen, auskünften, Auskunftsersuchen wurde auf § 113 Abs. 1 TKG i. V. m. § 100j Abs. 1, 2 StPO gestützt Beanstandungen, Verwarnungen, Geldbußen Bundeswehrkrankenhaus Koblenz Zugriff auf das Zeiterfassungssystem durch einen unbe- 2. Kompanie Feldjägerregiment 3 rechtigten Personenkreis

Unzulässiger Betrieb einer Videoüberwachungsanlage Deutsche Post AG

Ausbildungszentrum Technik Landsysteme der Verwarnung wegen kontinuierlichen Falschzustellungen Bundeswehr Deutsche Telekom AG Freigabe dienstlicher Laptops zum Verkauf ohne vorhe- Verwarnung wegen fehlerhafter Zusammenlegung von rige Löschung personenbezogener Daten Kundendaten Bayerisches Landesamt für Steuern Finanzamt Halle (Saale) Warnung wegen Einwilligungsmodell bei unverschlüs- Verwarnung wegen Verstoßes gegen Art. 5 Abs. 1 lit. f seltem E-Mail-Versand DSGVO sowie gegen Art. 6 Abs. 1 lit. e, Abs. 3 DSGVO Bundesagentur für Arbeit i.V.m. § 29b Abgabenordnung (AO) i.V.m. § 5 Abs. 1 S. 1 Verwaltungszustellungsgesetz (VwZG), indem Mitar- Beteiligung des Personalrats im Gleichstellungsver- beiter Firmenunterlagen in einem unverschlossenem fahren trotz fehlender Zustimmung des betroffenen Behältnis an den Sohn des Liquidators dieser Firma Mitarbeiters übergeben haben Bundesamt für Justiz Finanzamt Stade Verwarnung wegen der gem. DSGVO nicht erforderli- Verwarnung wegen zu geringer Sorgfalt im Vorfeld einer chen, unverschlüsselten Übermittlung von personenbe- Kontopfändung zogenen Daten in versendeten Eingangsbestätigungen an Nutzerinnen und Nutzer von durch das Bundesamt Finanzamt Starnberg für Justiz bereitgestellten Kontaktformularen und da- Verwarnung wegen Interessenkollision Datenschutz­ durch erfolgter Verstoß gegen den Datenverarbeitungs- beauftragter grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO) Finanzministerium des Landes Schleswig-Holstein

Bundesamt für Verfassungsschutz Warnung wegen Verstoßes gegen die in den Artikeln 5 Absatz 1 lit. f), 24 und 32 DSGVO geregelten Anforderun- Beanstandung, weil Datenverarbeitungen im Rahmen gen zur angemessenen Sicherheit der personenbezoge- des sog. Haber-Verfahrens ohne gesetzliche Rechts- nen Daten im Falle von unverschlüsseltem Versand von grundlage erfolgen E-Mails durch die der Aufsicht des Finanzministeriums Bundesamt für Wirtschaft und Ausfuhrkontrolle unterliegenden Finanzbehörden an Steuerpflichtige und Dritte je nach Art und Sensibilität der übermittelten Verwarnung wegen fehlender Auftragsverarbeitungs­ Informationen auch trotz einer vermeintlichen Einwil- verträge ligung aller Beteiligten gegen die in den Artikeln 5 Ab- Bundeskriminalamt satz 1 lit. f), 24 und 32 DSGVO geregelten Anforderungen zur angemessenen Sicherheit der personenbezogenen Beanstandung wegen Datenübermittlungen in Drittstaa- Daten. ten Hauptzollamt Gießen Beanstandung wegen unzulässiger Übermittlung von Daten Untersagung der Löschung einer Beurteilungsnotiz

Beanstandung wegen 30 Jahre andauernder Speicherung Hermes Germany GmbH als Kontakt- und Begleitperson ohne nachweisbaren Verwarnung wegen Verlust von Orientierungslisten Kontakt / Verweigerung der Beauskunftung Verwarnung wegen Fertigung von Fotografien von Sendungsempfängern

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 117 Institut für Präventivmedizin Jobcenter Rhein-Kreis Neuss

Überschreiten der Aufbewahrungsfrist bei der Speiche- Verstoß gegen den „Ersterhebungsgrundsatz“ (§ 67a Abs. rung von Gesundheitsdaten auf Mikrofilmen 2 Satz 1 SGB X)

Jobcenter Bad Kreuznach Jobcenter Städteregion Aachen

Erhebung und Speicherung personenbezogener Daten Unzulässige Aushändigung von Briefpost an einen ohne Rechtsgrundlage, Verstoß gegen die Voraussetzungen Dritten einer Einwilligung nach Art. 4 Nr. 11 und Art. 7 DSGVO Jobcenter team.arbeit.hamburg Jobcenter Berlin Neukölln Versendung besonderer Kategorien von Sozialdaten per Verfristete Auskunft nach Art. 15 DSGVO unverschlüsselter E-Mail

Jobcenter Berlin Pankow Jobcenter Vorpommern Greifswald Nord

Filmen der Kunden mit dem Diensthandy ohne Rechts- Erhebung und Speicherung personenbezogener Daten grundlage ohne Rechtsgrundlage

Jobcenter Düsseldorf Systemzentrum 25 (Bundeswehr)

Fehlende Unterrichtung des Leistungsempfängers über Veröffentlichung von Profilbildern der Beschäftigten der das Ergebnis des erfolgten Kontenabrufes nach § 93 AO Dienststelle auf Befehl im Blog „Confluence“

Jobcenter Erfurt Tele Columbus AG

Verarbeitung von Sozialdaten für die Arbeitsvermittlung, Anweisung, da keine Stellungnahme zu einer Petenten- obwohl kein Leistungsbezug mehr vorlag beschwerde abgegeben wurde

Jobcenter Hildesheim Telefónica Germany GmbH & Co. OHG

Verstoß gegen das Verbot der Verarbeitung besonderer Beanstandung gemäß § 115 Abs. 4 TKG i. V. m. § 104 TKG Kategorien personenbezogener Daten nach Art. 9 Abs. 1 wegen Eintragungen in gedruckte und in Online-Teil- DSGVO nehmerverzeichnisse, ohne die hierfür erforderlichen Zustimmungen einzuholen Jobcenter Jerichower Land Telekom Deutschland GmbH Verfristete und unvollständige Auskunft nach Art. 15 DSGVO Verwarnung wegen fehlender Einwilligung bei Magenta1 Tarifen Jobcenter Köln Unitymedia BW GmbH Verfristete Auskunft nach Art. 15 DSGVO Verwarnung wegen verspäteter Meldung einer Daten- Jobcenter Landkreis Germersheim schutzverletzung nach Art. 33 DSGVO Verstoß gegen den „Ersterhebungsgrundsatz“ (§ 67a Vodafone BW GmbH Abs. 2 Satz 1 SGB X) Verwarnung, da die Löschung eines Eintrags in Telefon- Jobcenter Landkreis Harburg büchern- und –verzeichnissen nicht veranlasst worden ist Erhebung und Speicherung personenbezogener Daten Vodafone Kabel Deutschland GmbH ohne Rechtsgrundlage Anweisung wegen mangelnder Löschung von Bestands- Jobcenter Landkreis Konstanz daten nach Vertragsende Verfristete Auskunft nach Art. 15 DSGVO Vodafone NRW GmbH Jobcenter Nürnberg Stadt Verwarnung DSGVO wegen unrechtmäßiger Verarbei- Unzulässige Erhebung personenbezogener Daten bei tung der IBAN eines Dritten Dritten Zollfahndungsamt Berlin-Brandenburg Jobcenter Osnabrück Nicht datenschutzkonformer Betrieb einer elektroni- Unzulässige Anforderung von Einkommensbescheinigun- schen Zutrittskontroll- und Alarmanlage, Verstoß gegen gen beim Arbeitgeber im Rahmen des Datenabgleiches die Informationspflichten

118 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Abkürzungsverzeichnis BND-Gesetz Gesetz über den Bundesnachrichten- dienst BNetzA Bundesnetzagentur Abs. Absatz bpb Bundeszentrale für politische Bildung AG Aktiengesellschaft BPol Bundespolizei AK Arbeitskreis BPolG Gesetz über die Bundespolizei AkkStelleG Gesetz über die Akkreditierungsstelle BSI Bundesamt für Sicherheit in der AO Abgabenordnung Informationstechnik API-Daten Advanced Passenger Information BT Bundestag (Vorab-Passagier-Information) BVerfG Bundesverfassungsgericht API-RL RICHTLINIE 2004/82/EG DES RATES BVerfSchG Bundesverfassungsschutzgesetz vom 29. April 2004 über die Verpflich- BVerwG Bundesverwaltungsgericht tung von Beförderungsunternehmen, BvR Aktenzeichen einer Verfassungs­ Angaben über die beförderten Perso- beschwerde beim Bundesverfassungs­ nen zu übermitteln gericht App(s) Applikation(en) bzw. beziehungsweise Art. Artikel ATD Anti-Terror-Datei CCC Chaos Computer Club ATDG Antiterrordateigesetz CWA Corona Warn App Az. Aktenzeichen d.h. das heißt BAMAD Bundesamt für den Militärischen DAkkS Deutsche Akkreditierungsstelle Abschirmdienst DEK Datenethikkommission BAMF Bundesamt für Migration und DEMIS Deutsches Elektronischen Melde- Flüchtlinge und Informationssystems für den BCR Binding Corporate Rules Infektions­schutz BDSG Bundesdatenschutzgesetz DiGA Digitale Gesundheitsanwendungen BEEG Bundeselterngeld- und Elternzeit­ DiGAV Digitale Gesundheitsanwendungen gesetzes Verordnung BfArM Bundesinstitut für Arzneimittel und DigFamG Gesetz zur Digitalisierung von Verwal- Medizinprodukte tungsverfahren bei der Gewährung BfDBw behördliche Datenschutzbeauftragte von Familienleistungen des Bundesministeriums der DIMDI Deutsches Institut für Medizinische Verteidigung Dokumentation und Information BfDI Der Bundesbeauftragte für den Daten- DSGVO Datenschutz-Grundverordnung schutz und die Informationsfreiheit DSK Konferenz der unabhängigen Daten- BfR Bundesinstitut für Risikobewertung schutzaufsichtsbehörden des Bundes BfV Bundesamt für Verfassungsschutz und der Länder BImA Bundesanstalt für Immobilien­ DSRV Datenstelle der Rentenversicherung aufgaben DVG Digitale-Versorgungs-Gesetz BKA Bundeskriminalamt BKAG Gesetz über das Bundeskriminalamt EDSA Europäischer Datenausschuss und die Zusammenarbeit des Bundes eFBS einheitliches Fallbearbeitungssystem und der Länder in kriminalpolizeili- EG Europäische Gemeinschaft chen Angelegenheiten eGK elektronische Gesundheitskarte BMG Bundesministerium für Gesundheit EGovG E-Government-Gesetzes BMI Bundesministerium des Innern, für eIDAS Elektronische Identifizierung und Bau und Heimat Vertrauensdienste für elektronische BMVg Bundesministeriums der Verteidigung Transaktionen BMWi Bundesministeriums für Wirtschaft ePA Elektronische Patientenakte und Energie EU Europäische Union BND Bundesnachrichtendienst EuGH Europäischer Gerichtshof BNDG Gesetz über den Bundesnachrichten- EWR Europäischer Wirtschaftsraum dienst

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 119 FDZ Forschungsdatenzentrum MAD-Gesetz Gesetz über den Militärischen ff. fortfolgende Abschirmdienst FIU Zentralstelle für Finanztransaktions- MHH Medizinische Hochschule Hannover untersuchungen, Abk. für Financial Mio. Millionen Intelligence Unit FlugDaG Gesetz über die Verarbeitung von NFC Near Field Communication Fluggastdaten Nr. Nummer

gem. gemäß OHG offene Handelsgesellschaft GeschGehG Geschäftsgeheimnisgesetz OKF Open Knowledge Foundation GG Grundgesetz OVG Oberverwaltungsgericht ggf. gegebenenfalls OWiG Ordnungswidrigkeitengesetz GGFB Geschützter Grenzfahndungsbestand OZG Onlinezugangsgesetz GGO Gemeinsame Geschäftsordnung der Bundesministerien PartG Parteiengesetz GKV Gesetzliche Krankenversicherung PDSG Patientendaten-Schutz-Gesetz GKV-SP Spitzenverband Bund der Kranken­ PEPP-PT Pan-European Privacy-Preserving kassen Proximity Tracing GmbH Gesellschaft mit beschränkter Haftung PIAV polizeilicher Informations- und GPA Global Privacy Assembly Analyseverbund PIMS Personal Information Management HS Halbsatz Systems HZI Helmholtz-Zentrum für Infektions­ PIN Persönliche Identifikationsnummer forschung PNR-Daten Fluggastdatensätze PNR-RL Richtlinie (EU) 2016/681 über die i.S.d. im Sinne des Verwendung von Fluggastdatensätzen i.v.m. in Verbindung mit PoC Proof of Concept IARC International Agency for Research on Cancer RED Rechtsextremismus-Datei IFG Informationsfreiheitsgesetz RegMoG Registermodernisierungsgesetz IfSG Infektionsschutzgesetz RKI Robert Koch-Institut IMI Binnenmarkt-Informationssystem RL Richtlinie IP Internet Protocol IT Informationstechnik s. siehe ITZ Bund Informationstechnikzentrum Bund S. Seite S. Satz JI-Richtlinie Richtlinie zum Datenschutz bei Polizei SGB Sozialgesetzbuch und Justiz SMS Short Message Service sog. so genannte KaDoIn Kartenbasierte Dokumentation von SORMAS Surveillance Outbreak Response Indexpatienten Management und Analysis System KEYP Key Provisions Expert Subgroup SSO Single Sign-On KI Künstliche Intelligenz Steuer-ID Steuer-Identifikationsnummer KMU kleine und mittlere Unternehmen StPO Strafprozessordnung SÜG Sicherheitsüberprüfungsgesetz LfD Landesbeauftragter für den Daten- schutz TB Tätigkeitsbericht LfDI/LDI Landesbeauftragte/r für den Daten- THW Technisches Hilfswerk schutz und die Informationsfreiheit TI Telematikinfrastruktur LG Landgericht TK Telekommunikation LIBE Ausschuss für bürgerliche Freiheiten, TKG Telekommunikationsgesetz Justiz und Inneres des EU-Parlaments TKMoG Telekommunikationsmodernisierungs- lit. Litera gesetz

120 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 TTDSG Telekommunikations-Telemedien-­ z.B. zum Beispiel Datenschutz-Gesetz ZASt Zentrale Anlaufstelle u.a. unter anderem ZenDis Zentrum Digitale Souveränität UIG Umweltinformationsgesetz ZFdG Gesetz über das Zollkriminalamt und USA United States of America die Zollfahndungsämter UrhG Urheberrechtsgesetz ZfKD Zentrum für Krebsregisterdaten

VBS Vorgangsbearbeitungssystem 56ID Identifikation der federführenden VG Verwaltungsgericht Aufsichtsbehörde vgl. vergleiche 60FD endgültiger Beschluss der feder­ VIS Visa-Informationssystem führenden Aufsichtsbehörde (Final vs. versus Decision)

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 121 Schlagwortverzeichnis Einwilligung 3.2, 3.2.1, 4.1.4, 5.2, 5.6, 5.10, 7.5, 7.6, 7.13, 7.14, 10.1 Entschließung 3.1.1, 3.1.2, 3.3, 4.2, 5.1, 6.1, 7.4 Als Fundstelle ist die Nummer des Beitrags angegeben, E-Privacy-Verordnung 5.10 in dem der Begriff verwendet wird. Europäischer Datenschutzausschuss 3.2 Europäischer Gerichtshof 3.2, 4.3, 6.6, 7.1 Abhilfemaßnahmen 4.1.2, 9.1 Europäische Kommission 3.2.2, 5.10 Akkreditierung 3.2, 3.2.4, 7.10 EU-US Privacy Shield 4.3 Angemessenheitsbeschluss 7.12, 9.5.4 Evaluierung 3.2.2, 4.1.2, 6.1, 11.1 Anonymisierung 4.1.3, 6.1, 7.5 Anti-Terror-Datei 9.5.2 Facebook 4.1.6, 4.3 Apps 3.3, 4.1.1, 4.1.2, 4.1.6, 4.2, Fallbearbeitungssystem, Einheitliches 6.2 5.4, 5.6, 8.1.1, 10.5 Fluggastdaten 4.1.4, 6.6 Auftragsverarbeitung 6.10, 7.8, 9.5.4 Gesichtserkennung 3.2.3, 3.3 Global Privacy Assembly Befugnisse 4.1.4, 5.2, 5.3, 5.4, 5.5, (Internationale Datenschutzkonferenz ) 3.3 6.4, 6.7, 6.10, 7.4, 7.16, 10.1 Beschäftigtendatenschutz 4.1.6, 6.10, 7.2, Informationsfreiheit 8 ff, 9.4 Beschwerden 4.1.5, 6.11, 7.14, 7.15, 8.1.1, 10.6 Interoperabilität 5.2, 5.10 Biometrie 3.2, 9.1 IT-Dienstleister, Bund 6.2 Brexit 7.12 IT-Konsolidierung, Bund 7.7 Bundesagentur für Arbeit 4.1.9 IT-Sicherheitsgesetz 5.3 Bundesamt für Verfassungsschutz 9.5.1 Bundesclient 7.7, 7.8 JI-Richtlinie 6.7, 11.1 Bundescloud 7.7 Jobcenter 4.1.9 Bundesdatenschutzgesetz 5.10, 7.10, 7.16, 8.1.3, 10.1, 11.1, 11.2 Kohärenzverfahren 3.2, 3.2.4 Bundeskriminalamt 6.1, 7.4, 9.5.2, 9.5.3, 9.5.4 Künstliche Intelligenz 6.1, 7.2, 7.9, 7.13 Bundesnachrichtendienst 5.4, 6.3 Bundesnetzagentur 7.16, 9.1 Meldepflicht 4.1.3, 4.1.4, 4.3 Bundespolizei 4.1.4, 6.2, 6.7, 6.11, 6.12, 7.4 Messenger-Dienste 4.1.6, 5.10, 8.2.3 Bußgeld 4.1.4, 4.1.5, 9.1, 10.2 Onlinezugangsgesetz 5.2, 5.9 Cookies 3.2.1, 5.10 Passenger Name Records (PNR) 6.6 Datenbank 5.1, 5.7, 6.6, 6.8 Patientenakte 4.2, 7.3, 7.13, 10.1 Datenethikkommission 7.9 Patientendaten 3.1.1, 4.2, 10.1 Datenminimierung 4.1.2 Pflichtkontrollen 9.5 Datenschutzbeauftragte, betrieblich/behördlich 9.3 Polizei 2020 6.1, Datenschutz-Grundverordnung 3.1.3, 3.2.2, Polizeigesetze 6.1, 6.7, 7.4 4.2, 4.3, 5.10, 7.1, 7.5, 7.6, 7.12, 7.14, 7.15, Post 4.1.7, 9.2 8.1.3, 10.1, 10.2, 11.1 Privacy by Design 3.1.3 Datenschutzkonferenz,national 3.1 ff, 5.1, 7.8, 7.10, 11.1 Datenschutzkonferenz, international 3.3 Registermodernisierung 3.1.2, 5.1, 5.2, 5.8 Datenschutzverletzung 6.9 Datensouveränität 3.1.3, 4.3 Schengener Informationssystem 6.12, 9.5.1 Datentransparenz 4.2, 5.7, 7.3, 7.13 Schrems II 4.3 Datenübermittlung 3.2.2, 4.2, 4.3, 5.1, 5.4, 5.9, Sicherheit der Verarbeitung 4.1.4, 9.1 6.1, 6.3, 6.7, 7.6, 7.8, 7.12, 7.14, 9.5.1, 9.5.4 Sicherheitsüberprüfung 6.5, 9.5.5 Deutscher Bundestag 5.1, 5.5, 7.1, 7.9, 8.2.2, 10.3

122 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 Impressum

Telekommunikationsgesetz 5.10, 7.4, 7.16 Telematik 4.2, 5.6 Tracing 4.1.1, 4.1.2 Tracking 3.2.1, 4.1.3, 5.6, 7.2

Verschlüsselung 3.1.5, 6.9, 7.13 Videoidentverfahren 7.11 Videokonferenz 3.1, 3.2, 4.1.6, 5.10, 10.3

Windows 7.8 Wirtschaftsunternehmen 9.5.5

Zensus Zentrale Anlaufstelle 11.1, 11.2 Zentralstelle 6.6, 6.8 ZfDG 6.7 Zollfahndung 6.7, 6.9

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 123 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Graurheindorfer Str. 153 53117 Bonn

Tel. +49 (0) 228 997799-0 E-Mail: [email protected] Internet: www.datenschutz.bund.de; www.bfdi.bund.de

Bonn 2021

Dieser Bericht ist als Bundestagsdrucksache erschienen.

Bildnachweis: BfDI, TOMZ, Pfohlmann, T. Plaßmann, Schwarwel, Klaus Stuttmann, Kittihawk

Druck: Silber Druck oHG Otto-Hahn-Straße 25 34253 Lohfelden

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020 127 www.bfdi.bund.de 128 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2020