HTTP 200 OK
Allow: GET, PUT, PATCH, HEAD, OPTIONS
Content-Type: application/json
Vary: Accept
{
"resource_uri": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"id": 150146,
"site_url": "https://fragdenstaat.de/dokumente/150146-30-tatigkeitsbericht-zum-datenschutz-und-zur-informationsfreiheit/",
"title": "30. Tätigkeitsbericht zum Datenschutz und zur Informationsfreiheit",
"slug": "30-tatigkeitsbericht-zum-datenschutz-und-zur-informationsfreiheit",
"description": "",
"published_at": null,
"num_pages": 138,
"public": true,
"listed": true,
"allow_annotation": false,
"pending": false,
"file_url": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/30tb_21.pdf",
"file_size": 8674162,
"cover_image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p1-small.png",
"page_template": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p{page}-{size}.png",
"outline": "",
"properties": {
"title": "30. Tätigkeitsbericht zum Datenschutz und zur Informationsfreiheit",
"author": "Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit",
"_tables": [
{
"page": 1,
"order": 1,
"accuracy": 100.0,
"whitespace": 50.0
}
],
"creator": "Adobe InDesign 14.0 (Macintosh)",
"subject": "Datenschutz; Informationsfreiheit",
"producer": "Adobe PDF Library 15.0",
"_format_webp": true
},
"uid": "1845527a-b3fe-49e6-92c9-eacb9107b781",
"data": {},
"pages_uri": "/api/v1/page/?document=150146",
"original": null,
"foirequest": null,
"publicbody": null,
"last_modified_at": "2022-04-05 11:51:27.951633+00:00",
"pages": [
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 1,
"content": "Tätigkeitsbericht 2021 30. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 30",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p1-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 2,
"content": "Dieser Bericht wurde der Präsidentin des Deutschen Bundestags, Frau Bärbel Bas, überreicht. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p2-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 3,
"content": "Unterrichtung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Tätigkeitsbericht für das Jahr 2021 – 30. Tätigkeitsbericht – Inhaltsverzeichnis Einleitung............................................................................................................................................................ 8 2 Empfehlungen ............................................................................................................................................. 10 2.1 Zusammenfassung der Empfehlungen des 30. Tätigkeitsberichts................................................................ 10 2.2 Empfehlungen des 29. Tätigkeitsberichts................................................................................................... 11 3 Gremien....................................................................................................................................................... 12 3.1 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).............. 12 3.1.1 Arbeitskreis DSK 2.0................................................................................................................... 12 3.1.2 Positivdaten Auskunfteien.......................................................................................................... 12 3.1.3 Arbeitskreis Microsoft ............................................................................................................... 14 3.1.4 Wichtige Beschlüsse und Entschließungen.................................................................................. 15 3.1.4.1 \t\u0007Coronavirus: Es ist notwendig, Nachweise über Impfungen, Testergebnisse und Genesungen gesetzlich zu regeln............................................................................. 15 3.1.4.2 \t\u0007Verarbeitung des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber............................................................................... 15 3.1.4.3 Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail....... 15 3.2 Europäischer Datenschutzausschuss..................................................................................................... 16 3.2.1 Allgemeiner Bericht................................................................................................................... 16 3.2.2 Drittlandübermittlungen / Schrems II-Entscheidung.................................................................... 19 3.2.2.1 Taskforce Supplementary Measures / Umsetzung Schrems II........................................... 19 3.2.2.2 Schwerpunkt Drittlandübermittlung.............................................................................. 20 3.2.3 Abschluss Kohärenzverfahren CoC EU Cloud und CISPE.............................................................. 23 3.2.4 Leitlinien Verantwortlichkeit und neue Standardvertragsklauseln................................................. 23 3.2.5 Leitlinien Recht auf Auskunft Art. 15 DSGVO............................................................................... 24 3.2.5.1 Auskunftsanspruch bei den Sozialleistungsträgern.......................................................... 24 3.2.5.2 Auskunftserteilung nach Art. 15 durch Krankenkassen.................................................... 24 3.2.6 Leitlinien für Streitbeilegungsverfahren vor dem EDSA................................................................ 25 3.3 Global Privacy Assembly....................................................................................................................... 25 3.3.1 Allgemeiner Bericht................................................................................................................... 25 3.3.2 Reference Panel......................................................................................................................... 26 3.4 Weitere internationale Gremien............................................................................................................ 27 3.4.1 G7............................................................................................................................................. 27 3.4.2 Berlin Group.............................................................................................................................. 28 3.4.3 \t\u0007Datenschutzgrundsätze für den staatlichen Zugriff auf personenbezogene Daten im internationalen Bereich ........................................................................................................ 28 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 3",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p3-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 4,
"content": "4 Schwerpunktthemen ................................................................................................................................... 30 . 4.1 Corona................................................................................................................................................ 30 . 4.1.1 Corona-Warn-App ..................................................................................................................... 30 . 4.1.2 SORMAS ................................................................................................................................... 32 . 4.1.3 Digitales COVID-Zertifikat der EU .............................................................................................. 33 . 4.1.4 Coronamelde-Verordnung ......................................................................................................... 34 . 4.1.5 Die Bundesnotbremse und die Ausnahmeverordnung ................................................................ 34 . 4.1.6 Coronavirus-Testverordnung ..................................................................................................... 35 . 4.1.7 Das „EpiLage-Fortgeltungsgesetz“ .............................................................................................. 36 . 4.1.8 Zweites IfSG-Änderungsgesetz: digitale Nacherfassung der Impfungen und 3G am Arbeitsplatz..... 37 . 4.1.9 Digitales Impfquotenmonitoring ................................................................................................ 38 . 4.2 Künstliche Intelligenz – Regulierung als gesamtgesellschaftliche Aufgabe .............................................. 39 . 4.2.1 KI-Regulierungsentwurf ............................................................................................................ 41 . 4.2.2 KI-Konsultationsverfahren ........................................................................................................ 41 . 4.3 Interdisziplinärer Beirat Beschäftigtendatenschutz ............................................................................... 42 . 5 Gesetzgebung .............................................................................................................................................. 43 . 5.1 Telekommunikationsgesetzgebung TKG/TTDSG .................................................................................... 43 . 5.2 Lobbyregistergesetz ............................................................................................................................. 45 . 5.3 Open-Data-Gesetz ................................................................................................................................ 45 . 5.3.1 Open-Data-Strategie der Bundesregierung .................................................................................. 46 . 5.4 Änderungen am Ausländerzentralregistergesetz ................................................................................... 47 . 5.5 Bundespolizeigesetz ............................................................................................................................ 47 . 5.6 Änderungen am BND-Gesetz treten in Kraft ......................................................................................... 48 . 5.7 Evaluierung des BDSG.......................................................................................................................... 48 5.8 IT-Sicherheitsgesetz ............................................................................................................................ 50 . 5.9 EU Digitalgesetzgebung ....................................................................................................................... 50 . 5.10 Entwicklungen bei Gesundheitsregistern .............................................................................................. 52 . 5.11 Datenerhebungsbefugnisse der Krankenkassen im Krankengeldfallmanagement ................................... 54 . 6 Einzelthemen .............................................................................................................................................. 55 . 6.1 Elektronische Patientenakte................................................................................................................. 55 . 6.2 Datenstrategie der Bundesregierung..................................................................................................... 56 . 6.3 Kooperation zwischen Kartell- und Datenschutzaufsichtsbehörden ........................................................ 57 . 6.4 Neustart des Forschungsdatenzentrums beim Bundesinstitut für Arzneimittel und Medizinprodukte ....... 59 . 6.5 Nutzung der Krankenversichertennummer in der Telematikinfrastruktur .............................................. 60 . 6.6 Modellvorhaben Genomsequenzierung ................................................................................................ 61 . 6.7 Pränataltests in Hongkong ................................................................................................................... 62 . 6.8 Umsetzung des Diagnose-Korrektur-Anspruch § 305 SGB V .................................................................... 63 . 6.9 Erstattungsfähige Digitale Gesundheitsanwendungen............................................................................ 63 6.10 Digitalisierung der öffentlichen Verwaltung .......................................................................................... 64 . 6.11 Brexit – Datentransfer mit dem Vereinigten Königreich ......................................................................... 64 . 6.12 Outing von Asylbewerbern ................................................................................................................... 65 . 6.13 Handydatenauswertung durch Bundesamt für Migration und Flüchtlinge rechtswidrig? .......................... 66 . 6.14 P 20 – Polizei 20/20: Der Weg zu einem gemeinsamen Datenhaus ........................................................... 66 . 6.15 GETZ: Unzureichende Evaluation ......................................................................................................... 68 . 6.16 Datenverarbeitung beim BND............................................................................................................... 68 . 6.17 Überführung der Stasi-Akten ins Bundesarchiv ..................................................................................... 69 . 6.18 Anwendungen auf der elektronischen Gsundheitskarte ......................................................................... 69 . 6.19 Digitale Identitäten .............................................................................................................................. 70 . 6.20 Das Sicherheitsüberprüfungsgesetz – Ein Gesetz mit vielen Fragezeichen ............................................... 72 . 4 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p4-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 5,
"content": "6.21 Pilotprojekt zur „intelligenten“ Videoüberwachung am Bahnhof Berlin Südkreuz, 2. Teil ......................... 74 . 6.22 Eurojust, Europäische Staatsanwaltschaft: Neue Zuständigkeiten ........................................................... 74 . 6.23 Zusammenarbeit mit anderen Kontrollorganen im Bereich der Nachrichtendienste des Bundes .............. 75 . 6.24 Passenger Name Records (PNR) – Zentrale Fragen sind weiterhin ungeklärt ........................................... 76 . 6.25 Agile Projektentwicklung ..................................................................................................................... 76 . 6.26 Personalverwaltungssystem PVSplus: Noch nicht gelöste datenschutzrechtliche Herausforderungen ....... 77 . 7 Informationsfreiheit .................................................................................................................................... 78 . 7.1 Gremien ............................................................................................................................................. 78 . 7.1.1 Konferenz der Informationsfreiheitsbeauftragten in Deutschland ................................................ 78 . 7.1.2 Internationale Konferenz der Informationsfreiheitsbeauftragten ................................................. 78 . 7.2 „Glyphosat“-Urteil – Zur Veröffentlichung einer behördlich erstellten Stellungnahme \u0007 nach Informationszugang .................................................................................................................... 79 . 7.3 Open Government Partnership............................................................................................................. 80 . 7.4 Formatwahlrecht: Ja oder Nein? ........................................................................................................... 80 . 7.5 Transparenz im Gesetzgebungsverfahren ............................................................................................. 81 . 7.6 Beanstandung des BMVI wegen der Verweigerung des Informationszugangs ohne Grund........................ 81 7.7 IFG – „Konkurrenz“ für den Buchhandel?.............................................................................................. 82 . 7.8 Stiftungsrat Bauakademie .................................................................................................................... 83 . 7.9 Umweltinformationsgesetz .................................................................................................................. 83 . 7.9.1 Ombudsfunktion im Umweltinformationsrecht .......................................................................... 83 . 7.9.2 UIG oder IFG? Eine manchmal nicht einfache Abgrenzungsfrage ................................................. 84 . 8 Kontrollen und Beratung ............................................................................................................................. 85 . 8.1 Pflichtkontrollen ................................................................................................................................. 85 . 8.1.1 Kontrollen und Beanstandungen bei Anti-Terror-Datei (ATD) und Rechtsextremismus-Datei (RED) ..... 85 . 8.1.2 Eurodac .................................................................................................................................... 86 . 8.1.3 VIS ........................................................................................................................................... 87 . 8.1.4 Kontrolle der getätigten Abfragen im Zollfahndungsinformationssystem INZOLL ......................... 87 . 8.1.5 Schengener Informationssystem ................................................................................................ 88 . 8.2 Sonstige Kontrollen ............................................................................................................................. 88 . 8.2.1 Fragebogenkontrolle Datenschutzbeauftragte in Jobcentern ........................................................ 88 . 8.2.2 Vorgangsbearbeitungssystem des Bundeskriminalamts ............................................................... 89 . 8.2.3 Erste Anordnung gegenüber dem BKA ....................................................................................... 89 . 8.2.4 Funkzellendatenbank des Bundeskriminalamts .......................................................................... 90 . 8.2.5 Verarbeitung erkennungsdienstlicher Daten durch das Bundeskriminalamt in INPOL-Z ............... 91 . 8.2.6 Datenschutzaufsicht und Beratung beim Bundesamt für den \u0007 Militärischen Abschirmdienst (BAMAD) ..................................................................................... 92 . 8.2.7 Datenschutzaufsicht und Beratung beim Bundesamt für Verfassungsschutz (BfV) ........................ 93 . 8.2.8 Kontrollen zum Sicherheitsüberprüfungsgesetz – Viel „bad practice“ und ein wenig „best practice“ ................................................................................................................. 95 . 8.2.9 Kontrolle und Beratung bei der Financial Intelligence Unit (FIU) ................................................ 96 . 8.2.10 Kontrolle nicht lizenzierter Postdienstleister .............................................................................. 98 . 8.2.11 Fragebogenkontrolle Betroffenenrechte ..................................................................................... 98 . 9 BfDI intern .................................................................................................................................................. 99 . 9.1 Organisationsuntersuchung ................................................................................................................. 99 . 9.2 Personalentwicklung im Jahr 2021 ........................................................................................................ 99 . 9.3 Presse- und Öffentlichkeitsarbeit.........................................................................................................100 . 9.4 Am Ort des Geschehens: Das Hauptstadtteam des BfDI .........................................................................102 . 9.5 BfDI in Zahlen ....................................................................................................................................103 . 10 Zentrale Anlaufstelle ..................................................................................................................................108 . 10.1 Rückblick ...........................................................................................................................................108 . Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 5",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p5-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 6,
"content": "11 Wo bleibt das Positive?.................................................................................................................................112 11.1 Erfolgreiche Zusammenarbeit mit BMU................................................................................................112 11.2 Datenschutzfreundliche Katastrophenwarnung.....................................................................................112 11.3 Deaktivierung von Zugängen in der Abordnung.....................................................................................113 11.4 Öffentlichkeit herstellen, Transparenz schaffen, Datenschutz fördern!...................................................113 Themenzuordnung nach Bundestagsausschüssen..............................................................................................115 Anlagen............................................................................................................................................................119 Anlage 1 Kontrollierte und besuchte Stellen.............................................................................................119 Anlage 2 Übersicht über Maßnahmen/Beanstandungen gegenüber öffentlichen Stellen.............................121 Übersicht über Maßnahmen/Beanstandungen gegenüber nicht-öffentlichen Stellen..........................................................................................................131 Abkürzungsverzeichnis................................................................................................................................133 Impressum.......................................................................................................................................................136 6 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p6-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 7,
"content": "Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 7",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p7-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 8,
"content": "1 Einleitung 2021 – ein weiteres Jahr, das immer wieder und umfas- sinnvoll und überfällig Regelungen zum Beschäftigten- send durch die Corona-Pandemie und deren Bekämp- datenschutz sind. Der vom Bundesarbeitsministerium fung geprägt war. Wie schon 2020 legte die Bundesre- eingesetzte Beirat, dem auch ich angehört habe, hat gierung dabei Gesetzentwürfe und Verordnungen zur dazu Vorschläge erarbeitet. Pandemie-Bekämpfung im Akkord vor, und wie im Die Digitalisierung unserer Lebens- und Arbeitswelt Vorjahr gab es selten Zeit, diese Entwürfe sachgerecht zu wird pandemiebedingt schneller vorangetrieben. Der prüfen und die Bundesregierung zu beraten. Bei allem Einsatz von Künstlicher Intelligenz (KI) und maschi- Verständnis für die zum Teil gebotene Eile hätten ein nellem Lernen nimmt deutlich zu, aber nicht immer wenig mehr Sorgfalt und eine Einbindung von Beginn ist klar, ob Programmierung, Auftrag, Training und Er- an – wie eigentlich vorgeschrieben – der Sache sicher gebnis wirklich den gesteckten Zielen entsprechen. Die gut getan. Ergebnisse sind bei komplexen Aufgaben kaum zu kont- Denn nicht alle zu ergreifenden Maßnahmen kamen rollieren. Nachdem die Datenethikkommission in ihrem überraschend: Beispielsweise habe ich die Bundesregie- Bericht aus dem Jahr 2020 weitreichende Vorschläge rung bereits im Sommer darauf hingewiesen, dass eine zum Umgang mit „algorithmischen Systemen“ gemacht gesetzliche Grundlage zur Regelung der Überwachung hat, liegt jetzt ein Regulierungsentwurf der EU-Kommis- von 3G oder 2G am Arbeitsplatz erforderlich sein wird. sion vor, den es zu konkretisieren gilt. Ein entsprechendes Gesetzgebungsverfahren wurde dann aber erst Ende November und auch hier wieder Für den Einsatz von KI im Bereich der Strafverfolgung mit einer extrem kurzen Prüf- und Stellungnahmefrist und Gefahrenabwehr habe ich ein umfangreiches Kon- auf den Weg gebracht. sultationsverfahren gestartet, mit dem eine öffentliche Debatte in Gang gesetzt werden soll. Meine stetigen Hinweise, dass es für solche Maßnahmen gesetzliche Grundlagen braucht, würde ich mir gerne Über zehn Jahre mussten wir auf die Umsetzung der ersparen, wenn denn entsprechend gehandelt würde. Privacy-Richtlinie durch den Gesetzgeber warten, ehe Stattdessen werden Lösungsvorschläge – auch solche, im Jahr 2021 das Telekommunikationsgesetz durch das die bei richtiger Ausgestaltung datenschutzrechtlich Telekommunikationsmodernisierungsgesetz überar- möglich wären – oft gar nicht erst vorgelegt oder bespro- beitet wurde. Zeitgleich wurde das Telekommunikati- chen. Vielmehr wird öffentlich lamentiert, „der Daten- on-Telemedien-Datenschutz-Gesetz geschaffen, mit dem schutz“ würde im Weg stehen. Entgegen dieser immer unter anderem die, für viele so lästigen, Cookie-Banner wieder vorgebrachten Kritik hat der Datenschutz und reguliert oder gar ganz vermieden werden sollen. damit auch meine Behörde aber keine einzige geeignete Zunehmend wichtiger wird die Arbeit in den EU- und Pandemiebekämpfungsmaßnahme der Bundesregierung internationalen Gremien. Der Europäische Daten- beschränkt oder gar gestoppt. So müßig es mittlerweile schutz-Ausschuss (EDSA) trifft nach langen Vorarbeiten geworden ist, werde ich auch in Zukunft nicht müde durch die jeweils zuständigen Datenschutzaufsicht- werden, dies richtigzustellen und mich Schwarzer-Pe- behörden der EU-Länder und seine Arbeitsgruppen ter-Spielen entgegenstellen, die nur den Blick auf die Beschlüsse und Leitlinien, die für alle EU-Staaten notwendigen Maßnahmen behindern. verbindlich sind. Es fehlen zwar immer noch wichtige Die Diskussion um die Kontrolle zur Einhaltung der Entscheidungen über bestimmte Datenerhebungen und 3G- oder gar 2G-Regelungen am Arbeitsplatz haben -verarbeitungen gerade der großen Internetkonzerne, es darüber hinaus exemplarisch aufgezeigt, wie notwendig, gibt aber erste Anzeichen für ein härteres Vorgehen ge 8 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p8-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 9,
"content": "gen offensichtliche Datenschutzverstöße. Erstmalig hat Wege. So wurden im letzten Jahr in Zusammenarbeit der EDSA dabei auch Entscheidungen federführender mit dem Carlsen-Verlag zwei Pixi-Bücher für Kinder zum nationaler Aufsichtsbehörden deutlich nachgeschärft Thema Datenschutz herausgebracht. Bei der Vorstellung und z. B. Bußgelder empfindlich erhöht. der Bücher in Schulen war ich selbst überrascht, wie interessiert selbst Grundschulkinder schon an diesem So wie die DSGVO inzwischen weltweit die Standards Thema sind. Unser Dienstleister kommt kaum mit dem für den Datenschutz legt, hat die internationale Zusam- Ausliefern der bestellten Pixi-Bücher an die interessier- menarbeit immer größere Bedeutung. Ich arbeite im ten Bürgerinnen und Bürger nach. Das stärkt mich in Exekutiv-Komitee der Global Privacy Assembly (weltwei- meiner Überzeugung, dass man mit Datenschutz gar ter Zusammenschluss der nationalen Datenschutzbehör- nicht früh genug anfangen kann. den) mit und habe am G7-Treffen der Datenschutzbehör- den teilgenommen. Parallel zur G7-Präsidentschaft der All diese Themen und Aufgaben kann ich natürlich nicht Bundesrepublik Deutschland habe ich im Jahr 2022 den alleine bewältigen, dabei unterstützen mich ca. 275 Vorsitz dieses neuen Zusammenschlusses. hochmotivierte und fachlich exzellente Mitarbeiterin- nen und Mitarbeiter, bei denen ich mich an dieser Stelle Coronabedingt konnten auch in diesem Jahr nicht so ausdrücklich für ihre tägliche Unterstützung bedanken viele Vor-Ort-Kontrollen stattfinden wie gewünscht und möchte. geplant. Stattdessen werden Möglichkeiten für ergänzen- de schriftliche Kontrollen gesucht und diese – wo immer Mein weiterer Dank gilt „Erzaehlmirnix“, die ich – als sie möglich sind – umfangreich genutzt. Alternative zu den Karikaturen unterschiedlicher Zeich- nerinnen und Zeichner in den vorherigen Tätigkeits- Neben der Kontrolle der von mir beaufsichtigten Behör- berichten – gebeten haben, diesmal exklusiv meinen den und Unternehmen ist die Beratung und Information Bericht mit ihrer erfrischenden Sicht auf verschiedene von Bundesregierung und Bundestag, aber auch der Datenschutzthemen zu bereichern. Bürgerinnen und Bürger, meine wichtigste Aufgabe. Dem komme ich gerne nach und gehe dabei auch neue Prof. Ulrich Kelber Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 9",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p9-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 10,
"content": "2 Empfehlungen 2.1 Zusammenfassung der Ich empfehle, beim Modellvorhaben Genomsequenzie- Empfehlungen des rung den Aufbau der „gemeinsamen Dateninfrastruktur“ dezentral zu strukturieren und statt einer doppelten 30. Tätigkeitsberichts Datenhaltung jeweils anlassbezogene Datenzugänge vorzusehen. (Nr. 6.6) Ich empfehle der Bundesregierung, die im Koalitions- vertrag angekündigte Institutionalisierung der DSK und Ich empfehle, das Einsichtsrecht der betrieblichen Da- die verbesserte verbindliche Kooperation der deutschen tenschutzbeauftragten in die im Unternehmen geführten Datenschutzaufsichtsbehörden durch die entsprechen- Sicherheitsakten, den Adressaten einer Beanstandung den gesetzgeberischen Maßnahmen alsbald in Angriff zu im nichtöffentlichen Bereich, den Umfang der Maßnah- nehmen. (Nr. 3.1.1; 5.7) men bei Sicherheitsüberprüfungen gem. § 33 SÜG sowie die Datenübermittlung im sogenannten Besuchskont- Ich empfehle, die Wege und den Datenkranz bei der rollverfahren im SÜG zu regeln. (Nr. 6.20) Meldung von Impfungen – Impfquotenmonitoring – zu überprüfen. (Nr. 4.1.9) Ich empfehle dem Gesetzgeber weiterhin angesichts des festgestellten geringen Nutzwerts von Antiterrordatei Ich empfehle dem BMG für den Betrieb des Implanta- und Rechtsextremismusdatei, diese abzuschaffen. teregisters eine geeignete Behörde vorzusehen – und (Nr. 8.1.1) gegebenenfalls zu schaffen –, die den Registerbetrieb dauerhaft rechtssicher und datenschutzkonform ohne Interessenkonflikte übernehmen kann. (Nr. 5.10) 10 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p10-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 11,
"content": "2.2 Empfehlungen des 29. Tätigkeitsberichts Empfehlungen des 29. Tätigkeitsberichts Stand der Umsetzung Ich empfehle den meiner Aufsicht unterliegenden Nach Besprechungen bei einzelnen Projekten hat sich Stellen, mich auch bei zeitkritischen Projekten frühzei- eine gewisse Besserung bei der frühzeitigten Bereit- tig einzubinden. Dadurch kann dem Datenschutz und stellung von Dokumenten eingestellt. Leider gilt diese damit auch dem Schutz der Betroffenenrechte von Feststellung nicht für aller Projekte. Anfang an ausreichend Rechnung getragen werden. (vgl. 29. TB Nr. 4.1.4, 4.1.8, 4.1.9) Ich empfehle dem Bundesrat, eine Stellvertreterin Die Wahl erfolgte am 25. Juni 2021. bzw. einen Stellvertreter des gemeinsamen Vertreters nach § 17 Abs. 1 BDSG zu wählen. (vgl. 29. TB Nr. 10.1) Ich empfehle, bei der Registermodernisierung statt Bis auf die Weiterentwicklung des Datencockpits auf eine einheitliche Personenkennziffer auf mehrere wurde keiner meiner Empfehlungen gefolgt. bereichsspezifische Identifikatoren zurückzugreifen. Zumindest sollte das 4-Corner-Modell für jede Daten- übermittlung eingesetzt und eine strenge Zweckbin- dung für die Verwendung der ID-Nr. festgelegt werden. Das Datencockpit sollte zeitnah zu einer echten Bestandsdatenauskunft weiterentwickelt werden. (vgl. 29. TB Nr. 5.1) Ich empfehle, dass die meiner Aufsicht unterliegenden Auch wenn überwiegend ein Bewusstsein für die An- Stellen ihre Datenübermittlungen an Drittländer im forderungen der Schrems II-Entscheidung des EuGH Hinblick auf die Anforderungen des Schrems II-Urteils bei den von mir beaufsichtigten Stellen attestiert des EuGH sorgfältig überprüfen und erforderliche werden kann, sind Anpassungen oft mit komplexen Anpassungen vornehmen. Fragestellungen behaftet. Bei meinen Kontrollen (vgl. 29. TB Nr. 4.3) werde ich die bereits erkennbaren Anpassungsbemü- hungen begleiten und weiter überwachen. Ich empfehle, die Gesetze, Projekte und Maßnahmen, Eine Evaluierung ist bislang nicht erfolgt. Dies sollte die im Rahmen der Corona-Pandemie unter hohem unverzüglich nachgeholt werden, sobald eine ende- Druck und innerhalb kürzester Fristen entwickelt und mische Lage erreicht wird. umgesetzt wurden, nach Ende der Pandemielage bewusst und sorgfältig zu evaluieren. (vgl. 29. TB Nr. 4.1.3, 4.1.4) Ich empfehle, „digitale Gesundheitsanwendungen“ „Digitale Gesundheitsanwendungen“ werden (noch) in der sicheren Telematikinfrastruktur oder auf nicht in der sicheren Telematikinfrastruktur oder maschinell lesbaren Datenträgern an die Nutzer zu auf maschinell lesbaren Datenträgern an die Nutzer übermitteln. Zudem sollte für die Bereitstellung der übermittelt. Ebenso wenig wurde bislang für die Be- „digitalen Gesundheitsanwendungen“ in der Telema- reitstellung der „digitalen Gesundheitsanwendungen“ tikinfrastruktur ein App-Store neu geschaffen und von ein von schweigepflichtigen Akteuren des Gesund- schweigepflichtigen Akteuren des Gesundheitssys- heitssystems betriebener App-Store geschaffen. tems betrieben werden. (vgl. 29. TB Nr. 5.6) Ich empfehle klarzustellen, dass die Ausübung von Eine Klarstellung in diese Richtung ist bislang nicht Datenschutzrechten nicht zu Strafschärfungen in erfolgt. Disziplinarverfahren führen darf. (vgl. 29. TB Nr. 6.10) Empfehlungen aus älteren Tätigkeitsberichten und deren Umsetzungsstand finden Sie unter www.bfdi.bund.de/tb-empfehlungen. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 11",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p11-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 12,
"content": "3 Gremien 3.1 Konferenz der unabhängigen Im Jahr 2021 hat der Arbeitskreis erste Ergebnisse in Datenschutzaufsichtsbehörden einem Zwischenbericht zusammengefasst und der DSK vorgelegt. Der Zwischenbericht enthält neben einer Be- des Bundes und der Länder (DSK) standsaufnahme auch konkrete Vorschläge zu den drei Themenfeldern „DSK als europäischer Player“, „Mutige- Die DSK ist der Zusammenschluss der unabhängigen re/schnellere Positionierung“ sowie „verbindliche Mehr- Datenschutzaufsichtsbehörden des Bundes und der Län- der. Sie verfolgt das Ziel, die Datenschutzgrundrechte heitsentscheidungen“. Konkret wird u. a. vorgeschlagen, zu schützen, eine einheitliche Anwendung des europä- →→ ein Präsidium der DSK zu bilden ischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. →→ spezifische Sprecherfunktionen zu etablieren und Der Vorsitz der DSK wechselt jährlich. 2021 nahm die →→ eine gemeinsame Geschäftsstelle einzurichten. Saarländische Landesbeauftragte Monika Grethel diese Auf dieser Grundlage wird der AK DSK 2.0 seine Arbeit Aufgabe wahr. Pandemiebedingt fanden alle Konferen- fortsetzen und dabei insbesondere die rechtlichen zen im Videoformat statt. Es wurden zwei Entschließun- Rahmenbedingungen für eine engere Kooperation unter gen zum Themenbereich Corona-Pandemie und vier Wahrung der Unabhängigkeit der Aufsichtsbehörden Beschlüsse zu verschiedenen Einzelfragen der Verarbei- prüfen. tung von Positivdaten durch Auskunfteien, zur Verarbei- tung des Datums „Impfstatus“ sowie zur Nichtanwen- Ich werde mich weiter dafür einsetzen, die DSK fort- dung technischer und organisatorischer Maßnahmen zuentwickeln und die Aufsichtspraxis innerhalb der auf Wunsch der betroffenen Person verabschiedet. deutschen Datenschutzaufsichtsbehörden noch stärker zu harmonisieren. Darüber hinaus erarbeitete die DSK Orientierungshilfen zum Schutz von personenbezogenen Daten bei Über- mittlung per E-Mail und für Anbieterinnen und Anbieter Ich empfehle der Bundesregierung, die im Koalitions- von Telemedien ab dem 1. Dezember 2021 sowie Anwen- vertrag angekündigte Institutionalisierung der DSK dungshinweise für Anforderungen an datenschutzrecht- und die verbesserte verbindliche Kooperation der liche Zertifizierungen. deutschen Datenschutzaufsichtsbehörden durch die entsprechenden gesetzgeberischen Maßnahmen als- 3.1.1 Arbeitskreis DSK 2.0 bald in Angriff zu nehmen. Die Zusammenarbeit der unabhängigen Datenschut- zaufsichtsbehörden des Bundes und der Länder sollte weiter verbessert werden. Dazu hat der Arbeitskreis 3.1.2 Positivdaten Auskunfteien DSK 2.0 in einem Zwischenbericht erste Ergebnisse vorgestellt und Vorschläge unterbreitet, wie dieses Ziel Eine Verarbeitung von sogenannten Positivdaten aus erreicht werden kann. Verträgen über Mobilfunkdienste und Dauerhandels- konten ist nur aufgrund wirksamer Einwilligung mög- Innerhalb der DSK besteht Einvernehmen, dass sie sich lich. Auch ein so genannter „Engergieversorgerpool“ weiterentwickeln, schneller und flexibler werden sowie darf nicht zu gläsernen Verbrauchern führen. sich kurzfristig in aktuelle datenschutzpolitische öffent- liche Diskussionen einbringen muss. Deshalb hatte sie Die Konferenz der unabhängigen Datenschutzaufsichts- im Juni 2020 einen Arbeitskreis DSK 2.0 auf Leitungsebe- behörden des Bundes und der Länder (DSK) hatte bereits ne eingerichtet, der die Zusammenarbeit einschließlich im Jahr 2018 festgestellt, dass Auskunfteien Positivdaten der Arbeitsweise der DSK evaluieren und Vorschläge für zu Privatpersonen grundsätzlich nicht auf Grundlage der eine Neugestaltung erarbeiten sollte (vgl. 29. TB Interessenabwägung des Art. 6 Abs. 1 Abs. 1 lit. f DSGVO Nr. 3.1.6). erheben dürfen. 12 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p12-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 13,
"content": "In der öffentlichen Wahrnehmung wird die Tätigkeit von Weniger bekannt ist, dass es auf Seiten der Auskunfteien Auskunfteien überwiegend mit der Speicherung und und ihrer Vertragspartner auch ein Interesse gibt, so Weitergabe von so genannten Negativdaten in Verbin- genannte Positivdaten zu verarbeiten. Positivdaten sind dung gebracht. Dabei geht es um Informationen über Informationen über bestehende Verträge, die von den negative Zahlungserfahrungen oder Zinsen und Tilgung Verbraucherinnen und Verbrauchern vertragsgemäß von Krediten, Zahlungsausfälle bei einer Ratenzahlung bedient werden. Auch diese Positivdaten gehen unter oder eine Privatinsolvenz. Die Meldung solcher Daten an Umständen in die Berechnung der Wahrscheinlichkeit die Auskunfteien, die Speicherung und die Beauskunf- eines Zahlungsausfalls (Score) ein. Diese Informationen tung dieser Daten werden in der Regel auf die Interes- können nach Ansicht der Datenschutzaufsichtsbehörden senabwägung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DSGVO – abgesehen von bestimmten Ausnahmen im Bankenbe- gestützt. Diese Datenverarbeitungen sind demnach dann reich – nur auf der Basis einer wirksamen Einwilligung erlaubt, wenn es ein berechtigtes Interesse entweder der betroffenen Person verarbeitet werden. Es überwiegt der Auskunftei oder ihrer Vertragspartner gibt und bei solchen Positivdaten regelmäßig das schutzwürdi- schutzwürdige Interessen der betroffenen Verbrauche- ge Interesse der betroffenen Person, selbst über die rinnen und Verbraucher nicht überwiegen. Verwendung ihrer Daten zu bestimmen. Bereits die Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 13",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p13-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 14,
"content": "Übermittlung solcher Daten durch deren Vertragspart- son zulässig. Dafür müssen die allgemeinen Anforderun- ner an eine Auskunftei kann nicht auf Art. 6 Abs. 1 Abs. gen gewahrt werden. Insbesondere darf die Erteilung 1 lit. f DSGVO gestützt werden: Solange eine Person ihre der Einwilligung nicht zur Bedingung des Vertragsab- vertraglichen Verpflichtungen einhält, gibt es keinen schlusses gemacht werden. Grund, ohne ihre Zustimmung Daten über ihre Verträge Zeitgleich mit den Erörterungen zur Verarbeitung von oder ihr Zahlungsverhalten vorzuhalten. Positivdaten gab es bei Auskunfteien und Energiever- Die DSK hatte bereits bei ihrem Beschluss im Jahr 2018 sorgern im Berichtszeitraum Überlegungen, einen angedacht, sich mit der Verarbeitung von Positivda- sogenannten Energieversorgerpool zu schaffen. In ten bei Dauerschuldverhältnissen zu einem späteren diesem zentralen Datenpool sollten auch Positivdaten Zeitpunkt zu befassen, was im Berichtszeitraum nun der der Vertragspartner gespeichert und an andere Ener- Fall war. Besonders ging es um die Frage, ob für die ver- gieversorger übermittelt werden. Informationen über breitete Praxis der Übermittlung und Verarbeitung von die Anzahl abgeschlossener Verträge und die jeweilige Positivdaten zu Verträgen über Mobilfunkdienste und Vertragsdauer können Hinweise darauf geben, ob eine Dauerhandelskonten von Privatpersonen eine andere längere Vertragsbeziehung zu einem Stromversorger Bewertung erforderlich ist. Dies betrifft beispielsweise beabsichtigt oder regelmäßig Angebote für Neukunden die verbreitete Praxis, Mobiltelefone über die Laufzeit genutzt werden. Verbraucher, die regelmäßig das kos- eines Mobilfunkvertrages in monatlichen Raten abzu- tengünstigste Angebot am Markt wählen und dazu den zahlen. Mit Dauerhandelskonten sind wiederum Verträ- Anbieter wechseln möchten, könnten dann von Versor- ge gemeint, bei denen die betroffene Person Waren auf gungsunternehmen bei preislich attraktiven Angeboten Kredit erhält, indem sie beispielsweise eine von einem ausgeschlossen werden, obwohl sie ausschließlich von Händler bereitgestellte Kundenkarte nutzt und die ge- ihren Rechten als Kunden Gebrauch gemacht haben. kauften Waren durch monatliche Abbuchungen oder auf andere Weise nachträglich bezahlt. Ich begrüße es, dass die DSK auch zum sogenannten Energieversorgerpool klar Stellung bezogen hat. Der Die DSK kam zu dem Ergebnis, dass für die Übermitt- Wunsch, „Schnäppchenjäger“ in einem Datenpool zu lung der Positivdaten durch die Mobilfunkdienstean- erfassen, um sie bei Vertragsanbahnung als solche iden- bieter und die Handelsunternehmen zwar berechtigte tifizieren und von Angeboten ausschließen zu können, Interessen bestehen, die Qualität der Bonitätsbewertun- stellt kein berechtigtes Interesse i. S. d. Art. 6 Abs. 1 Abs. gen zu verbessern und die beteiligten Wirtschaftsakteure 1 lit. f DSGVO dar. Zudem überwiegen insoweit auch vor kreditorischen Risiken zu schützen. Allerdings ist die die schutzwürdigen Interessen und Grundrechte der DSK auch der Auffassung, dass die Interessen, Grund- Kundinnen und Kunden. Die DSK hat es nicht akzeptiert, rechte und Grundfreiheiten der betroffenen Personen dass ein ausdrücklich erwünschtes Verhalten – hier die regelmäßig dieses berechtigte Interesse der Verantwort- Suche nach dem preisgünstigsten Energieanbieter – zu lichen oder Dritter an der Verarbeitung der Positivdaten negativen Konsequenzen für die Verbraucherinnen und überwiegen. Besondere Umstände, die in diesen Fällen Verbraucher führt. eine Verarbeitung von Positivdaten auf der Basis der Interessenabwägung rechtfertigen, konnte die DSK nicht 3.1.3 Arbeitskreis Microsoft feststellen. Die Auskunfteien haben damit argumentiert, die Verarbeitung von Positivdaten sei besonders dann Für Verantwortliche ist es eine Bredouille: Da gibt es von Vorteil für die Verbraucherinnen und Verbraucher, eine Software wie Microsoft 365, die vielerorten ein- wenn sonst wenige Informationen zu einer Person gesetzt wird, sich gleichzeitig aber einer gewichtigen vorlägen. Dieses Argument überzeugt aber nicht. Zum Datenschutzkritik ausgesetzt sieht. Wie lässt sich so ein einen lässt sich auch damit nicht begründen, warum Konflikt mit dem Datenschutz vermeiden? Die DSK hat eine Verarbeitung gegen den Willen der Person zulässig einen intensiven Dialog mit Microsoft begonnen, um sein soll. Zum anderen ist dieses Argument überhaupt für mehr Klarheit zu sorgen und Verantwortlichen eine nur aus der Logik heraus verständlich, dass aus dem Empfehlung an die Hand zu geben. fehlenden Vorhandensein von Daten zu einer Person Bereits Ende 2020 wurde von der DSK eine Dialogrunde häufig eine negative Bewertung folgt, obwohl aus dem mit Microsoft initiiert, um gemeinsam datenschutzrecht- Nichtvorhandensein von Daten keine Schlüsse gezogen liche Nachbesserungen der vertraglichen Grundlagen werden können. für die Online-Dienste des Unternehmens zu erreichen. Eine Übermittlung und Verarbeitung von Positivdaten Unter der Leitung der Aufsichtsbehörden aus Branden- über Mobilfunkdienstverträge und Dauerhandelskonten burg und Bayern (LDA) engagieren sich aktuell auch die durch Vertragspartner und Auskunfteien sind nur auf Aufsichtsbehörden aus Berlin, Schleswig-Holstein, Sach- der Grundlage einer Einwilligung der betroffenen Per sen, Mecklenburg-Vorpommern, Baden-Württemberg, 14 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p14-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 15,
"content": "Hessen und mein Haus in diesem Arbeitskreis. Im Fokus Die DSK hat in ihrer Entschließung den Gesetzgeber auf- stehen Fragen zur Auftragsverarbeitung gem. Art. 28 DS- gefordert, entsprechende Gesetzgebungsverfahren in die GVO und die praktischen Auswirkungen der Rechtspre- Wege zu leiten. Die Verarbeitung von Gesundheitsdaten chung des EuGH auf den internationalen Datentransfer zu privatwirtschaftlichen Zwecken muss den Anforde- (Rechtssache C-311/18 „Schrems II“). rungen der europäischen Datenschutz-Grundverord- nung genügen. Unter den Begriff der Gesundheitsdaten Die DSK hatte bereits im Vorfeld einige Kritikpunkte ge- fallen auch Informationen zum Impfstatus oder das Er- äußert, z. B. wenn Microsoft bei der Diensteerbringung gebnis eines Coronatests. Der besonders strenge Schutz personenbezogene Daten auch für eigene Zwecke nutzt. der Datenschutz-Grundverordnung lässt eine Verarbei- Dies erfordert eine tragfähige Rechtsgrundlage für die tung nur unter Ausnahmen zu. Ohne eine gesetzliche Bereitstellung dieser Daten aus dem Auftragsverhältnis Grundlage wäre eine Verarbeitung lediglich mit Einwilli- der Verantwortlichen/Kunden an Microsoft. Die Prüfung gung möglich. Dies ist insbesondere problematisch, was einer tragfähigen Rechtsgrundlage setzt wiederum die die Freiwilligkeit einer solchen Einwilligung im Beschäf- Kenntnis der konkreten Zwecke und genutzten perso- tigungsbereich angeht. Um Rechtsklarheit, Rechtssicher- nenbezogenen Daten voraus. heit und einheitliche Lösungen zu erreichen, bedarf es In der Dialogrunde geht es u. a. darum, diese Transpa- gesetzlicher Regelungen. renz herzustellen, um auf dieser Grundlage eine rechtli- Um die von der DSK geforderte Rechtsklarheit zu schaf- che Bewertung abzuleiten. Aus meiner Sicht sollte sich fen, habe und werde ich die beteiligten Bundesministe- diese Transparenz selbstverständlich in den vertragli- rien weiterhin intensiv beraten und auf eine gesetzliche chen Grundlagen wiederfinden. Nur so können Verant- Regelung drängen. wortliche/Kunden ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht werden. Generell diskutiert die 3.1.4.2 Verarbeitung des Datums „Impfstatus“ von DSK aber auch andere vertragliche Verbesserungsvor- Beschäftigten durch die Arbeitgeberin oder den Arbeit- schläge, so auch beim Einsatz von Unterauftragneh- geber mern. Die Verarbeitung des Datums „Impfstatus“ von Be- Ich möchte diesen Dialogprozess mit Blick auf die Fra- schäftigten darf nur mit einer ausdrücklichen gesetz- gen zur Auftragsverarbeitung gem. Art. 28 DSGVO mög- lichen Ermächtigung erfolgen. Auch in Zeiten der lichst zeitnah abschließen und als DSK-Handlungsemp- COVID-19-Pandemie. fehlungen für Verantwortliche/Kunden veröffentlichen, die einschlägige Microsoft-Produkte einsetzen wollen. Arbeitgeberinnen und Arbeitgeber dürfen das Datum „Impfstatus“ grundsätzlich nur mit einer ausdrückli- In einem weiteren Schritt wird sich die Dialogrunde mit chen gesetzlichen Ermächtigung verarbeiten. In dem den konkreten Auswirkungen des Schrems-II-Urteils Beschluss der DSK wird auch klargestellt, dass § 26 Abs. befassen. Hier ebnen die neuen rechtlichen Anforde- 3 Satz 1 BDSG nicht als eine solche in Betracht kommt. rungen, aber auch veränderte Kundenwünsche, den Weg Die Verarbeitung von Gesundheitsdaten, wie z. B. der für eine verstärkt europazentrierte Datenverarbeitung. Impfstatus, ist nur ausnahmsweise erlaubt (vgl. Art. 9 Mit der Initiative des sog. „EU Data Boundary“ kündigt Abs. 1 DSGVO). auch Microsoft die Möglichkeit einer EU-Datengrenze an Auf die Einwilligung Beschäftigter kann die Verarbei- und bietet perspektivisch europäischen Kunden so die tung solcher Daten nur dann gestützt werden, wenn sie Möglichkeit, ihre Daten ausschließlich innerhalb der Eu- freiwillig und damit rechtswirksam erteilt wurde, vgl. ropäischen Union zu verarbeiten und zu speichern. Ich Art. 26 Abs. 3 S 2 und Abs. 2 BDSG. In einem Über- und werde diese Entwicklungen weiter intensiv begleiten. Unterordnungsverhältnis, wie es im Regelfall im Be- schäftigungsverhältnis gegeben ist, bestehen Zweifel an 3.1.4 Wichtige Beschlüsse und Entschließungen der Freiwilligkeit und somit auch an der Rechtswirksam- keit der Einwilligung. 3.1.4.1 Coronavirus: Es ist notwendig, Nachweise über Impfungen, Testergebnisse und Genesungen gesetzlich Auf diesen Missstand habe ich den Gesetzgeber lange zu regeln hinweisen müssen, bis es eine gesetzliche Regelung gab. Eine Verarbeitung von Gesundheitsdaten wie Impfnach- 3.1.4.3 Maßnahmen zum Schutz personenbezogener weis oder Körpertemperaturmessung gehören gesetz- Daten bei der Übermittlung per E-Mail lich geregelt. Hierbei müssen zwingend die strengen Vorgaben des Art. 9 Abs. 2 DSGVO eingehalten werden. Bei der Übermittlung von E-Mails bestehen Risiken, die mit einer Verletzung von Vertraulichkeit und Integrität Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 15",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p15-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 16,
"content": "personenbezogener Daten verbunden sind. Verantwort- Die Arbeitsweise des EDSA wurde auch im Jahr 2021 liche und Auftragsverarbeitende müssen einschätzen durch die Auswirkungen der COVID-19-Pandemie be- können, welche Schäden ein Bruch von Vertraulichkeit stimmt. Mit einer Ausnahme fanden alle Plenarsitzungen und Integrität anrichten können. Können Anforderun- in Form von Videokonferenzen statt. Dabei hat der EDSA gen an eine sichere Übermittlung nicht erfüllt werden, die hohe Dichte an Plenarsitzungen verfestigt und insge- muss ein anderer – sicherer – Kommunikationskanal samt 15 Mal konferiert. Hinzu kommen zahlreiche Sitzun- gewählt werden. gen der Arbeitsgruppen (expert subgroups) des EDSA. Die DSK hat in ihrer Orientierungshilfe zum Schutz per- Ein Schwerpunkt der Arbeiten lag auch in diesem Be- sonenbezogener Daten bei der Übermittlung per E-Mail richtszeitraum auf der Erarbeitung von Leitlinien nach Überlegungen zu Anforderungen an die Verfahren zum Art. 70 DSGVO zur einheitlichen Umsetzung der DSGVO E-Mail-Versand und -Empfang angestellt. Sie behandelt in Europa. Daneben hat der Ausschuss auch Stellung- die Risiken, die mit einer Verletzung der Vertraulichkeit nahmen im Kohärenzverfahren nach Art. 64 DSGVO und Integrität personenbezogener Daten verbunden angenommen. In meinem letzten Tätigkeitsbericht sind. Sie geht dabei von typischen Verarbeitungssituati- habe ich auf erste Entscheidungen gegenüber weltweit onen aus, um praxisrelevante Anwendungsfälle aufzu- führende Tech-Unternehmen hingewiesen. Hier hat es zeigen. Insbesondere wird auf die Ende-zu-Ende-Ver- weitere Entwicklungen gegeben, darunter eine erste Ent- schlüsselung als auch die Transportverschlüsselung scheidung im sog. Dringlichkeitsverfahren. als geeignete Verfahren für eine Risikominimierung Der EDSA hat zudem begonnen, seine Strategie für die abgestellt. Die DSK stellt durch den risikobasierten Jahre 2021 bis 2023 umzusetzen. Ansatz der Orientierungshilfe den Verantwortlichen und Auftragsverarbeitenden ein geeignetes Hilfsmittel im Leitlinien, Empfehlungen und Orientierungshilfen Umgang mit der Übermittlung von E-Mails zur Verfü- Der EDSA hat im Berichtszeitraum zahlreiche Leitlinien gung. und Empfehlungen sowie Orientierungshilfen verab- Die Orientierungshilfe finden Sie unter folgendem Link: schiedet, an denen ich regelmäßig als Berichterstatter www.bfdi.bund.de/orientierungshilfen oder Mitberichterstatter mitgearbeitet habe. Diese wurden zum Teil zur Wahrung von Transparenz und 3.2 Europäischer Datenschutzausschuss Beteiligung der öffentlichen Konsultation unterzogen. →→ Die Leitlinien 01/2021 zu Beispielen zu Benach- 3.2.1 Allgemeiner Bericht richtigungen über Datenschutzverletzungen Der Europäische Datenschutzausschuss (EDSA) hat (Guidelines 01/2021 on Examples regarding Data im Berichtszeitraum seine Arbeit an einer europaweit Breach Notification) betrachten Beispiele aus der einheitlichen Anwendung der Datenschutz-Grundver- Aufsichtspraxis der beteiligten Aufsichtsbehörden. ordnung weiter intensiviert. Hierzu wurden weitere Diese beinhalten die Aspekte der Risikobewertung Leitlinien angenommen, Empfehlungen ausgesprochen bei Datenpannen, die Rolle der technisch-organisa- und Stellungnahmen abgegeben. Auch die grenzüber- torischen Maßnahmen nach Art. 32 DSGVO sowie Vorschläge für Maßnahmen, die Verantwortliche schreitende Zusammenarbeit wurde weiter verstärkt. nach Datenpannen ergreifen sollten. Erste Verfahren der Streitbeilegung, darunter ein Ver- fahren der Dringlichkeit, wurden verhandelt. →→ Die Empfehlungen 01/2021 zu der Referenzgrund- lage für den Begriff „Angemessenheit“ in der Der Europäische Datenschutzausschuss (EDSA) ist Richtlinie zum Datenschutz bei der Strafverfolgung eine unabhängige europäische Einrichtung, die zur (JI-Richtlinie) setzen den Rahmen und die Min- einheitlichen Anwendung der Datenschutzvorschriften destanforderungen für die Annahme eines Angemes- in der gesamten Europäischen Union beiträgt und die senheitsbeschlusses auf der Basis des EU-Rechts. Zusammenarbeit zwischen den EU-Datenschutzbehör- den fördert. Diese Aufgaben habe ich bereits in meinen →→ Die Leitlinien 01/2020 zur Verarbeitung personen- vorangegangenen Tätigkeitsberichten näher erläutert. bezogener Daten im Zusammenhang mit vernetz- Als gemeinsamer Vertreter aller deutschen Aufsichtsbe- ten Fahrzeugen und mobilitätsbezogenen An- hörden ist der BfDI ein Mitglied des Ausschusses. Nähe- wendungen erläutern das Verhältnis zur geplanten re Ausführungen können über meinen Internetauftritt E-Privacy-Verordnung und Fragen der Verarbeitung abgerufen werden.1 von personenbezogenen Daten zu neuen Zwecken. 1 www.bfdi.bund.de/edsa 16 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p16-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 17,
"content": "→→ Die Leitlinien 02/2021 zu Sprachassistenten (Guide- →→ Die Empfehlungen 01/2020 zu Maßnahmen zur lines 02/2021 on Virtual Voice Assistants) zeigen die Ergänzung von Übermittlungstools zur Gewähr- wichtigsten Bezüge zur Rechtskonformität („Com- leistung des unionsrechtlichen Schutzniveaus pliance“). Darüber hinaus geben sie den Beteiligten für personenbezogene Daten (Recommendations praktische Empfehlungen, wie sie diese einhalten 01/2020 on measures that supplement transfer tools können. to ensure compliance with the EU level of protecti- on of personal data) zielen darauf ab, Datenexpor- →→ Die Leitlinien 9/2020 zu maßgeblichen und begrün- teure beim Ermitteln und durchführen geeigneter deten Einwänden gemäß Verordnung 2016/679 zusätzlicher Maßnahmen zu unterstützen. Dies um geben eine Anleitung, was unter einem „maßgeb- ein gleichwertiges Schutzniveau zu erreichen. Sie lichen und begründeten Einspruch“ betroffener enthalten mehrere Änderungen aus der öffentlichen Aufsichtsbehörden gegen Entscheidungsvorschläge Konsultation. Außerdem legen sie einen besonderen der federführenden Aufsichtsbehörden in gren- Schwerpunkt auf die Gepflogenheiten der Behörden züberschreitenden Aufsichtsfällen zu verstehen ist. eines Drittlandes. Erläutert werden die Verfahren und die Kriterien, die bei der Beurteilung eines Einspruchs zu berücksich- →→ Die Leitlinien 04/2021 über Verhaltensregeln als tigen sind. Instrument für Übermittlungen (Guidelines 04/2021 on codes of conduct as tools for transfers) haben den →→ Die Orientierungshilfe zur Bewertung von Zertifi- Zweck, die Voraussetzungen der Genehmigung von zierungskriterien (Guidance on certification criteria Verhaltensregeln durch eine zuständige Aufsichts- assessment [Addendum to Guidelines 1/2018 on behörde und Erklärung ihrer allgemeinen Gültigkeit certification and identifying certification criteria in innerhalb des EWR durch die Kommission als Über- accordance with Articles 42 and 43 of the Regulati- mittlungsinstrument zu präzisieren. on]) verfolgt das Ziel, Elemente aus den EDSA-Leit- linien 1/2018 zu verfeinern. Ziel ist eine einheitliche →→ Die Leitlinien 7/2020 zu den Begriffen „Verantwort- Bewertungen im Zusammenhang mit der Genehmi- licher“ und „Auftragsverarbeiter“ in der DSGVO gung von Zertifizierungskriterien zu etablieren. haben das Hauptziel, die Bedeutung der Begriffe zu klären. Darüber hinaus werden die verschiedenen →→ Die Leitlinien 03/2021 zur Anwendung von Art. 65 Rollen und die Verteilung der (rechtlichen) Verant- (1)(a) DSGVO (Guidelines 03/2021 on the application wortlichkeiten zwischen diesen Akteuren verdeut- of Article 65(1)(a) GDPR) beschreiben den Ablauf licht. einer Streitbeilegung durch den EDSA. Sie beziehen sich ausschließlich auf Fälle eines gescheiterten Ko- →→ Die Leitlinien 10/2020 zu Beschränkungen gemäß operationsverfahrens nach Art. 60 Abs. 4 DSGVO und Art. 23 der DSGVO (Guidelines 10/2020 on restric- sollen diese Verfahren einer Entscheidung zuführen. tions under Article 23 GDPR) zielen darauf ab, die Bedingungen für die Anwendung solcher Einschrän- →→ Die Leitlinien 8/2020 bezüglich der Zielgruppenan- kungen durch die Mitgliedstaaten oder den EU-Ge- sprache von Social-Media-Nutzern sollen – vor dem setzgeber im Lichte der Charta der Grundrechte Hintergrund mehrerer EuGH-Urteile – die Vertei- und der Datenschutz-Grundverordnung zu betonen. lung der Rollen und Verantwortlichkeiten zwischen Sie analysieren die Kriterien wie Beschränkungen Social-Media-Plattformen und Unternehmen oder angewendet werden, der zu beachtenden Bewer- anderen Nutzern der Targeting-Funktionen dieser tungen, die Art und Weise, wie betroffene Personen Social-Media-Plattformen, klarstellen. Außerdem ihre Rechte nach Aufhebung der Beschränkungen sollen sie die Wirkung der Datenverarbeitungsvor- ausüben können und die Folgen von Verstößen gegen gänge auf (Grund-)Rechte und Freiheiten betroffener Art. 23 DSGVO. Personen mit praktischen Beispielen verdeutlichen. →→ Die Leitlinien 05/2021 zum Zusammenspiel →→ Die Empfehlungen 02/2021 zur Rechtsgrundlage z wischen der Anwendung von Art. 3 und den Be- für die Speicherung von Kreditkartendaten aus- stimmungen über internationale Übermittlungen schließlich zum Zweck der Erleichterung weite- (Guidelines 05/2021 on the Interplay between the ap- rer Online-Transaktionen zielen auf europaweit plication of Article 3 and the provisions on internati- einheitliche Anforderungen an die Rechtmäßigkeit onal transfers as per Chapter V of the GDPR) erläu- einer Datenspeicherung von Kreditkartendaten im tern drei grundlegende Kriterien. Sie geben Beispiele Onlinehandel ab. Sie sorgen für ein klare Rechtslage zur Klärung, ob eine Verarbeitung eine Übermittlung und verhindern Wettbewerbsnachteile. in ein Drittland oder an eine internationale Orga Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 17",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p17-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 18,
"content": "nisation ist und ob folglich die Bestimmungen von (Opinion 32/2021 regarding the European Commis- Kapitel V der DSGVO eingehalten werden müssen. sion Draft Implementing Decision pursuant to Regu- lation (EU) 2016/679 on the adequate protection of Stellungnahmen zu Angemessenheitsentscheidungen personal data in the Republic of Korea) konzentriert Der EDSA gibt in Verfahren eine Stellungnahme über die sich der EDSA auf allgemeine Aspekte der DSGVO. Entscheidung ab, ob ein Drittland oder eine internatio- Außerdem hat der EDSA den Fokus auf den Zugang nale Organisation über ein angemessenes Schutzniveau von Behörden zu personenbezogenen Daten, die aus für die Verarbeitung personenbezogener Daten verfü- dem Europäischen Wirtschaftsraum (EWR) in die gen. Bei seiner Beurteilung verwendet der EDSA Republik Korea für Zwecke der Strafverfolgung und der nationalen Sicherheit übermittelt werden. Dieses →→ die DSGVO-Referenzgrundlage für Angemessenheit, beinhaltet auch die Rechtsbehelfe, die Personen →→ die Empfehlungen des EDSA 2/2020 zu den we- im EWR zur Verfügung stehen. Der EDSA prüft, ob sentlichen europäischen Garantien in Bezug auf die im koreanischen Rechtsrahmen vorgesehenen Überwachungsmaßnahmen sowie Garantien wirksam sind. →→ die Entscheidungen des EuGH und des EGMR zum Stellungnahmen im Kohärenzverfahren / Entscheidun- Zugriff durch Behörden. gen im Kooperationsverfahren Im Jahr 2021 hat der EDSA sich zur Angemessenheit in Im Kohärenzverfahren hat der EDSA fast 40 Stellungnah- zwei Drittstaaten geäußert (s.a. 3.2.2.): men verfasst. →→ In der Stellungnahmen zur Angemessenheit im Diese betreffen zum großen Teil: Vereinigten Königreich (Opinion 14/2021 regarding the European Com- →→ durch Mitgliedstaaten vorgelegte verbindliche inter- ne Datenschutzvorschriften (Art. 47 DSGVO) mission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection →→ die Akkreditierung von Zertifizierungsstellen of personal data in the United Kingdom und Opinion (Art. 43 Abs. 3 DSGVO) 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) →→ Stellen zur Überwachung der Einhaltung von Verhal- tensregeln (Art. 41 DSGVO). 2016/680 on the adequate protection of personal data in the United Kingdom) stellt der EDSA fest, dass Auf Antrag der Hamburger Aufsichtsbehörde hat der sich die datenschutzrechtlichen Rahmen der EU und EDSA einen ersten verbindlichen Beschluss im Dring- des Vereinigten Königreichs in Kernbereichen stark lichkeitsverfahren gemäß Art. 66 Abs. 2 DSGVO erlassen, ähneln. Das gilt z. B.: nachdem diese einstweilige Maßnahmen gegen Face- book Ireland Ltd verfügt hatte. —— für Grundlagen rechtmäßiger und fairer Verar- beitung für legitime Zwecke Die Hamburger Aufsichtsbehörde hatte ein Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Face- —— die Zweckbindung, Datenqualität und Verhältnis- book Ireland Ltd für eigene Zwecke angeordnet. Dies mäßigkeit geschah nachdem eine Änderung der Nutzungsbedin- —— Datenspeicherung, Sicherheit und Vertraulich- gungen und Datenschutzbestimmungen für europäische keit, Nutzer von WhatsApp Ireland Ltd durchgeführt worden war. Der EDSA entschied mehrheitlich, dass die Voraus- —— Transparenz setzungen für den Nachweis eines Verstoßes und einer —— besondere Datenkategorien sowie Dringlichkeit nicht erfüllt seien. Daher erfolgte keine endgültige Maßnahme. —— automatisierte Entscheidungen und Profiling. In einem zweiten Verfahren erließ der EDSA einen Dennoch empfiehlt der EDSA, einzelne Punkte genau zu Streitbeilegungsbeschluss auf der Grundlage von Art. 65 untersuchen bzw. zu überwachen, z. B. bei der Ausnah- DSGVO. Hierdurch sollte der mangelnde Konsens meregelung für den Einwanderungsbereich und ihre über bestimmte Aspekte eines Beschlussentwurfs der Wirkungen auf die Rechte der betroffenen Personen irischen Aufsichtsbehörde als federführender Auf- geltenden Beschränkungen. sichtsbehörde in Bezug auf WhatsApp Ireland Ltd und →→ In der Stellungnahme zum Entwurf eines Angemes- den anschließenden Einsprüchen einiger betroffener senheitsbeschlusses der Europäischen Kommissi- Aufsichtsbehörden ausgeräumt werden. Der EDSA kam on für die Republik Korea zu dem Schluss, die irische Aufsichtsbehörde solle ihren 18 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p18-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 19,
"content": "Beschlussentwurf zu Verstößen gegen die Transparenz, 3.2.2 Drittlandübermittlungen / Schrems II- zur Berechnung der Geldbuße und zur Frist für die Um- Entscheidung setzung der Anweisung ändern. 3.2.2.1 Taskforce Supplementary Measures / Umsetzung Umsetzung der EDSA-Strategie 2021-2023 Schrems II Die EDSA-Strategie 2021-2023 habe ich bereits in mei- Auch im Jahr 2021 hat das „Schrems II“-Urteil des EuGH nem letzten Tätigkeitsbericht erläutert. Mit der Umset- (Rechtssache C-311/18) die Aufsichtsbehörden in der zung wurde – beispielhaft – bereits begonnen: EU und auf nationaler Ebene weiter beschäftigt. Ein →→ Um die Harmonisierung zu fördern und die Rechts- wichtiger Schritt im Hinblick auf die Umsetzung der Er- konformität (Compliance) zu erleichtern, werden die gebnisse des Schrems II-Urteils war die Arbeit der vom Leitlinien, Empfehlungen und Orientierungshilfen EDSA eingesetzten Taskforce Supplementary Measures. umgesetzt. Daneben wurden die Aufsichtsbehörden im Rahmen ihrer Beratungs- und Kontrolltätigkeit mit Fragen zur →→ Der EDSA richtet einen Expertenpool (Support Pool Umsetzung der Schrems II-Entscheidung konfrontiert, of Experts) ein, um eine effektive Durchsetzung und die es zu lösen gilt. die effiziente Zusammenarbeit zwischen nationalen Aufsichtsbehörden zu unterstützen. Dieser wird auf I. Das Schrems II-Urteil Ebene des EDSA eingesetzt, um Untersuchungen und In meinen letzten beiden Tätigkeitsberichten hatte ich Durchsetzungsmaßnahmen zu fördern, die für die bereits über das Schrems II-Verfahren berichtet. Der Mitglieder des EDSA von gemeinsamem Interesse EuGH hatte am 16. Juli 2020 mit seinem Schrems II-Ur- sind. Zudem hat der EDSA beschlossen, seine erste teil verkündet, dass die Regelungen des EU-US „Privacy koordinierte Maßnahme (Coordinated Enforcement Shield“ unwirksam sind. Auf Basis der Regelungen des Framework) zur Nutzung von Cloud-basierten Diens- Privacy Shields dürfen keine Datenübermittlungen mehr ten durch den öffentlichen Sektor zu starten. Die in den Gültigkeitsbereich US-amerikanischen Rechts Ergebnisse dieser nationalen Maßnahmen werden vorgenommen werden. Die Nichtigkeitserklärung des dann gebündelt und analysiert. EuGH betraf hingegen nicht das Übermittlungsins- →→ Den grundrechtlichen Ansatz für neue Technologien trument der Standardvertragsklauseln. Das Gericht stützt der EDSA mit seinem Statement on Digital and stellte fest, dass diese gegebenenfalls um „zusätzli- Data Strategy. Dabei äußert er im Kern übergreifend chen Maßnahmen“ (supplementary measures) ergänzt alle Bedenken, die die Rechtsakte (Data Governance werden müssten, damit die Daten im Drittland einen Act, Digital Services Act, Digital Markets Act und im Wesentlichen gleichwertigen Schutz genießen wie Artificial Intelligence Act) betreffen. Neben einem in der EU. Aus dem Urteil ergibt sich, dass die Stan- mangelnden Schutz der Grundrechte und Grundfrei- dardvertragsklauseln keinen hinreichenden Schutz vor heiten des Einzelnen besteht eine nur fragmentierte Zugriffen auf personenbezogene Daten aus der EU durch Aufsicht (s.a. 4.2 und 5.9). Nachrichtendienste oder andere Sicherheitsbehörden der USA bieten. Hier ist im Einzelfall die genaue Prüfung Querverweise: zusätzlicher Maßnahmen erforderlich. 3.2.2 Schwerpunkt Drittlandübermittlung, 3.2.4 Leitlini- Die Auswirkungen des Urteils auf andere Drittländer en Verantwortlichkeit, 3.2.6 Leitlinien Streitbeilegungs- und auf weitere Übermittlungsinstrumente gemäß Art. verfahren, 4.2 Künstliche Intelligenz, 5.9 EU Digitalisie- 46 DSGVO werden durch den Europäischen Datenschut- rungsgesetzgebung zausschuss (EDSA) im Rahmen der Arbeiten der Exper- tenuntergruppe „International Transfers“ behandelt (vgl. Nr. 3.2.2.2). Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 19",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p19-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 20,
"content": "II. Taskforce Supplementary Measures – Empfehlungen bei Datenübermittlung an Drittländer hingewiesen. In des EDSA zu den zusätzlichen Maßnahmen meinem Zuständigkeitsbereich habe ich im Berichts- zeitraum mit Kontrollmaßnahmen zur Umsetzung der Wie bereits in meinem letzten Tätigkeitsbericht er- Schrems II-Anforderungen begonnen. wähnt, wurden am 10. November 2020 im EDSA die Empfehlungen zu den „zusätzlichen Maßnahmen“ Auf meiner Webseite unterstütze ich Verantwortliche angenommen („Recommendations 01/2020 on measures und Auftragsverarbeiter mit aktuellen Informationen that supplement transfer tools to ensure compliance zur Thematik. 4 with the EU level of protection of personal data“ – Ver- Die aus dem Schrems II-Urteil resultierenden, kom- sion 2.0). Diese Empfehlungen konnte der EDSA am 18. plexen Rechtsfolgen werden die deutschen und euro- Juni 2021 in seiner endgültigen Fassung verabschieden2. päischen Aufsichtsbehörden in ihrer Arbeit weiterhin Der abschließenden Annahme durch den EDSA war eine erheblich fordern. Abhilfe können langfristig einheitli- öffentliche Konsultation vorausgegangen. Die Ergeb- che, rechtsbasierte internationale Standards für globale nisse der Konsultation wurden durch ein Drafting Team Datentransfers sein, die auch den besonders kritischen ausgewertet, dem ich selbst und weitere Aufsichtsbehör- Aspekt des staatlichen Zugriffs auf personenbezogene den der Länder angehörten. Daten (sog. Government Access) erfassen. Die Empfehlungen sollen Datenexporteure bei der Bewertung unterstützen, ob bei einer Übermittlung von 3.2.2.2 Schwerpunkt Drittlandübermittlung Daten an Drittländer zusätzliche Maßnahmen erforder- Wenn Daten in ein Drittland oder an eine internationale lich sind. Die Empfehlungen enthalten dazu praktische Organisation übermittelt werden, müssen Verantwort- Beispiele für verschiedene Übermittlungsszenarien. Au- liche oder Auftragsverarbeiter zunächst prüfen, ob ßerdem findet sich in einem Annex eine nicht abschlie- die allgemeinen Voraussetzungen der DSGVO für eine ßende Liste möglicher zusätzlicher Maßnahmen, wie Datenübermittlung erfüllt sind. Außerdem muss den z. B. einer Datenverschlüsselung. zusätzlichen Anforderungen nach Kapitel V der DSGVO III. Umsetzung / Kontrollen Rechnung getragen werden. Mit dem sogenannten Schrems II-Urteil des EuGH (Rechtssache C-311/185) Im Schrems II-Urteil hat der EuGH eine klare Aufgaben- wurden neue Maßstäbe gesetzt. Die erheblichen zuweisung vorgenommen. Unternehmen und öffentli- Auswirkungen des Urteils auf Datenübermittlungen in che Stellen sind verpflichtet, selbständig die Rechtmä- Drittländer stellen an Verantwortliche, Auftragsverar- ßigkeit ihrer Datentransfers an Drittländer zu prüfen beiter und Aufsichtsbehörden hohe Anforderungen. Sie und gegebenenfalls anzupassen. Hierbei werden sie haben die Arbeit der Expert Subgroups International durch die Aufsichtsbehörden beraten und kontrolliert. Transfers (ITS ESG) und Borders, Travel and Law En- Wie bereits in meinem letzten Tätigkeitsbericht und in forcement (BTLE ESG) im Berichtsjahr geprägt. Kapitel 3.2.2.2 ausgeführt, haben die Aufsichtsbehör- den auf nationaler und europäischer Ebene Hilfestel- In Zusammenarbeit mit den Aufsichtsbehörden der lungen für Verantwortliche und Auftragsverarbeiter Länder in den Expert Subgroups ITS ESG und BTLE des (Datenexporteure) erarbeitet. Im Oktober 2020 habe ich Europäischen Datenschutzausschusses (EDSA) war der mit einem Informationsschreiben an die öffentlichen Schwerpunkt meiner Aktivitäten: Stellen des Bundes sowie die meiner Aufsicht unterlie- genden Unternehmen Hinweise zu den Auswirkungen →→ die Erarbeitung von Leitlinien und Empfehlungen für Datenübermittlungen an Drittländer oder inter- der Rechtsprechung des EuGH auf den internationalen nationale Organisationen sowie Datentransfer gegeben3. In dem Schreiben habe ich die Kernaussagen des Urteils zusammengefasst. Darüber →→ Stellungnahmen zu Angemessenheitsbeschlüssen hinaus habe ich auf die Verpflichtung der datenexpor- und sonstigen datenschutzrelevanten Entscheidun- tierenden Stelle zur Prüfung der Schrems II-Grundsätze gen der Europäischen Kommission. 2\t\u0007Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal dataVersi- on 2.0 Adopted on 18 June2021, abrufbar unter: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplemen- tarymeasurestransferstools_en.pdf 3\t\u0007Informationsschreiben des BfDI, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allge- mein/2020/Rundschreiben-Informationen-Schrems-II.html 4\t\u0007Informationen auf der BfDI Webseite, abrufbar unter: www.bfdi.bund.de/schrems-II 5\t\u0007\u0007Schrems II“ Urteil des EuGH vom 16.07.2020, Rechtssache C-311/18, abrufbar unter: \u0007https://curia.europa.eu/juris/document/document.jsf?docid=228677&mode=lst&pageIndex=1&dir=&occ=first&part=1&text=&doclang=DE&- cid=40595668 20 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p20-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 21,
"content": "I. Angemessenheitsbeschlüsse Der EDSA erwartet, dass sich die Gesetze im Vereinigten Königreich weiterentwickeln und verlangt, die Ange- Nach Art. 45 DSGVO bzw. Art. 36 JI-RL kann die Euro- messenheit kontinuierlich zu beobachten und zeitlich zu päische Kommission feststellen, dass ein Drittland oder begrenzen. Der EDSA begrüßt die Verfallsklausel eine internationale Organisation ein angemessenes der beiden von der Europäischen Kommission am Datenschutzniveau gewährleistet. Findet eine Daten- 28. Juni 2021 angenommenen Angemessenheitsbe- übermittlung im Anwendungsbereich eines Angemes- schlüsse gemäß der Datenschutz-Grundverordnung senheitsbeschlusses statt, bedarf es keiner besonderen (DSGVO) und der Strafverfolgungsrichtlinie (JI-RL), die Genehmigung durch die Datenschutz-Aufsichtsbehör- bis zum 27. Juni 2025 befristet sind. den. Die Datenübermittlung muss von keinen weite- ren Schutzmaßnahmen aus Kapitel V der DSGVO bzw. Republik Korea Kapitel V der JI-RL begleitet werden. Dessen ungeachtet Am 16. Juni 2021 leitete die Europäische Kommission das bleibt es erforderlich zu prüfen, ob die allgemeinen da- Verfahren zur Annahme des Angemessenheitsbeschlus- tenschutzrechtlichen Voraussetzungen für die entspre- ses für die Datenübermittlung an die Republik Korea ein. chende Datenverarbeitung erfüllt sind. Der Ausschuss Grundlage für die Verarbeitung von personenbezogenen hat im Berichtszeitraum Stellungnahmen zu den Ange- Daten an die Republik Korea ist das nationale Gesetz zum messenheitsbeschlüssen zum Vereinigten Königreich Schutz personenbezogener Daten (Personal Information und zu Südkorea abgegeben. Protection Act – PIPA), das in den Kernelementen mit Vereinigtes Königreich dem Datenschutzniveau der EU übereinstimmt. Die Europäische Kommission startete am 19. Februar Der EDSA hat in seiner Stellungnahme vom 24. Sep- 2021 das Annahmeverfahren zur Angemessenheit des tember 2021 keine grundsätzlichen Bedenken gegen Schutzes personenbezogener Daten durch das Vereinigte den Angemessenheitsbeschluss geäußert. Er bittet die Königreich (vgl. 6.11). Zu beiden Entwürfen der Ange- Kommission jedoch, bestimmte Begriffe und Regeln des messenheitsbeschlüsse hat der EDSA im Annahmever- koreanischen Rechts klarzustellen7. Der Angemessen- fahren zwei Stellungnahmen abgegeben6. Darin stellt er heitsbeschluss wurde am 17. Dezember 2021 von der fest, dass der Datenschutzrahmen des Vereinigten Kö- Europäischen Kommission angenommen8. nigreichs weitgehend auf dem Datenschutzrahmen der II. Neue Standarddatenschutzklauseln der Europäischen Union basiert. Er betont aber auch, dass Europäischen Kommission einige Punkte genauer überwacht werden müssen. U. a. die Ausnahmeregelung für den Einwanderungsbereich Wie bereits in meinem letzten Tätigkeitsbericht darge- und deren Auswirkungen auf die Rechte der betroffenen legt, hatte der EuGH im Schrems II-Urteil (EuGH-Urteil Personen. vom 16. Juli 2020: Rechtssache C-311/18) die Unwirksam- keit des EU-US-Privacy Shields festgestellt. Das hat zur Überwacht werden müssen auch mögliche Beschrän- Folge, dass auf dieser Grundlage keine Datenübermitt- kungen bei der Übermittlung personenbezogener Daten lungen mehr aus der EU an die USA stattfinden können. aus dem Europäischen Wirtschaftsraum in das Vereinig- In seinem Urteil hat der EuGH zwar das Instrument der te Königreich (z. B. auf Grundlage künftiger Angemes- Standardvertragsklauseln (SDK) nicht grundsätzlich in senheitsbeschlüsse des Vereinigten Königreichs oder Frage gestellt, aber festgelegt, dass diese gegebenen- internationaler Abkommen zwischen dem Vereinigten falls um sogenannte „zusätzlichen Maßnahmen“ (vgl. o. Königreich und Drittländern). 3.2.2.1) ergänzt werden müssten. Dies, damit die Daten Darüber hinaus kritisiert der EDSA verschiedene Rege- im Drittland einen im Wesentlichen gleichwertigen lungen und Praktiken im Sicherheitsbereich, die weiter Schutz genießen wie in der EU. Denn die Standardver- beobachtet und geprüft werden müssten. Beispielsweise tragsklauseln reichen nach Feststellungen des Gerichts das Abfangen von Massendaten oder die unabhängige gegebenenfalls als Schutz vor möglichen Zugriffen durch Bewertung und Überwachung des Einsatzes von Instru- Nachrichtendienste oder sonstige Sicherheitsbehörden menten für die automatisierte Datenverarbeitung. auf personenbezogene Daten aus der EU nicht aus. 6\t\u0007EDPB Opinions on draft UK adequacy decisions, abrufbar unter: https://edpb.europa.eu/news/news/2021/edpb-opinions-draft-uk-adequacy-deci- sions_en 7\t\u0007Opinion 32/2021regardingthe European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the Republic of Korea Version 1.0 Adopted on 24 September 2021; abrufbar unter: https://edpb.europa.eu/system/ files/2021-09/edpb_opinion322021_republicofkoreaadequacy_en.pdf\u0007 8\t\u0007COMMISSION IMPLEMENTING DECISION of 17.12.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act: https://ec.europa.eu/info/sites/default/files/1_1_180366_dec_ade_kor_new_en.pdf Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 21",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p21-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 22,
"content": "Am 4. Juni 2021 hat die Europäische Kommission über- IV. Zertifizierung als Datenübermittlungsinstrument arbeitete Standarddatenschutzklauseln (SDK) erlassen, an Drittstaaten welche die Vorgaben des Schrems II-Urteils berücksich- Als ein weiteres Instrument für Datenübermittlungen tigen, aber eine Prüfung der Rechtslage und Behör- in Drittländer bestimmt die DSGVO in Art. 46 Abs. 2 das denpraxis im Drittland im Einzelfall nicht entbehrlich Instrument der Zertifizierung. Die ITS ESG beschäftigte machen . Dabei hat die Kommission einen modularen 9 sich im Berichtsjahr mit der Erstellung von Leitlinien für Ansatz verfolgt, der mehr Flexibilität bei der Gestaltung dieses Übermittlungsinstrument. Hier habe ich in der von Drittstaatenübermittlungen bieten soll. Für die Nut- ITS ESG die Rolle des Hauptberichterstatters übernom- zer der alten Standardvertragsklauseln der Kommission men. Da der EDSA bereits im Jahre 2018 allgemeine ist ein 18-monatiger Übergangszeitraum vorgesehen, um Leitlinien zur Zertifizierung und Akkreditierung im die bisherigen Standardvertragsklauseln auf die neuen Rahmen der Datenschutz-Grundverordnung (DSGVO) umzustellen. veröffentlicht hat, konzentrieren sich diese Leitlinien Die deutschen Aufsichtsbehörden hatten zu dem Ent- auf die spezifischen Aspekte der Zertifizierung als Inst- wurf dieser neuen SDK eine eigene Position entwickelt, rument für Datentransfers. Sie sollen Hinweise für die die in den EDSA eingebracht wurde. Sie findet sich an Anwendung in der Praxis geben. vielen Stellen in der gemeinsamen Stellungnahme des Die Leitlinien sollen dem EDSA zeitnah zur Verabschie- EDSA und des Europäischen Datenschutzbeauftragten dung vorgelegt und in die öffentliche Konsultation (EDSB) vom 14. Januar 2021 wieder10. Zu den neuen gegeben werden. Standardvertragsklauseln der Europäischen Kommission zur Auftragsverarbeitung (vgl. 3.2.4). V. Verbindliche interne Datenschutzvorschriften – Binding corporate rules (BCR) III. Genehmigte Verhaltensregeln – Codes of Conduct Die verbindlichen internen Datenschutzvorschriften Der EDSA hat in der ITS ESG unter aktiver Mitwirkung (BCR) sind eine weitere geeignete Garantie des Kapitels meiner Behörde als Co-Rapporteur Leitlinien erarbeitet, V der DSGVO für eine Übermittlung an Drittländer. Auf die zu genehmigende branchenspezifische Verhaltensre- Ebene der ITS ESG werden eine Vielzahl von BCR geprüft geln als angemessene Garantie nach Art. 46 DSGVO für und Einzelfragen geklärt. Darüber hinaus befasst sich die Übermittlung von personenbezogenen Daten an ein die ITS ESG mit der Weiterentwicklung des BCR-Annah- Drittland zu behandeln. Im Unterschied zu den Codes meverfahrens des EDSA im Hinblick auf deren Effizienz of Conduct, die die Anforderungen des Art. 28 DSGVO (Qualitätssicherung, Beschleunigung, Vereinfachung). präzisieren (vgl. 3.2.3), handelt es sich um spezielle Verhaltensregeln, die Datenübermittlungen in Dritt- Querverweise: staaten einfacher machen sollen. Insbesondere können 3.2.2.1 Taskforce Supplementary Measures, 3.2.3 Datenimporteure im Drittland – die nicht der DSGVO Abschluss Kohärenzverfahren CoC, 3.2.4 Leitlinien unterliegen – diesen Verhaltensregeln beitreten, um ge- Verantwortlichkeit und neue Standardvertragsklauseln, eignete Garantien für die Datenübermittlung zu bieten. 6.11 Brexit Die Leitlinien geben praktische Hinweise zu den Anfor- derungen, zum Verfahren bis hin zur Annahme dieser Kodizes für die beteiligten Akteure. Außerdem sollen sie als Referenz für alle internationalen Kontrollinstanzen, den EDSA und die Kommission im Hinblick auf eine einheitliche Bewertung der Kodizes dienen. Aktuell werden die Eingaben aus der öffentlichen Kon- sultation ausgewertet, die zum 1. Oktober 2021 endete. Die Guidelines sollen Anfang nächsten Jahres durch den EDSA angenommen werden. 9\t\u0007s. hierzu ausführlich die Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni2021, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf 10\t\u0007Gemeinsame Stellungnahme1/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertrags- klauseln zwischen Verantwortlichen und Auftragsverarbeitern für die in Art. 28 Abs. 7 der Verordnung (EU) 2016/679 und Art. 29 Abs. 7 der Verord- nung (EU) 2018/1725 genannten Aspekte, abrufbar unter: https://edpb.europa.eu/system/files/2021-04/edpb-edpsjointopinion01_2021_sccs_c_p_de_1.pdf 22 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p22-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 23,
"content": "3.2.3 Abschluss Kohärenzverfahren CoC EU Cloud und als der EU Cloud CoC lediglich spezifische Features von CISPE Providern, die Infrastructure as a Service anbieten. Der Europäische Datenschutzausschuss hat am 19. Mai Codes of Conduct sind nicht nur ein Instrument der 2021 die positiven Stellungnahmen zu den beiden the- Selbstregulierung, sondern dienen zugleich auch der matisch eng verwandten Codes of Conduct „EU Cloud Transparenz gegenüber den Betroffenen. Ich begrüße CoC“ und „CISPE CoC“ angenommen. Es handelt sich daher sehr, dass auf diese Weise auch die Wirtschaft um die ersten EU-weiten Verhaltensregeln, zu denen ihren Beitrag zur Konkretisierung und Handhabbarkeit der EDSA eine Stellungnahme im Kohärenzverfahren der DSGVO leistet. angenommen hat. 3.2.4 Leitlinien Verantwortlichkeit und neue Standard- Erstmalig hat der Europäische Datenschutzausschuss im vertragsklauseln Rahmen eines Kohärenzverfahrens zwei positive Stel- lungnahmen zu Verhaltensregeln, sogenannten Codes of Der Europäische Datenschutzausschuss (EDSA) hat im Conduct (CoC), angenommen und damit bestätigt, dass Juli 2021 die endgültige Fassung der Leitlinien 07/2020 diese den Anforderungen der Datenschutz-Grundverord- zu den Begriffen „Verantwortlicher“ und „Auftragsverar- nung entsprechen. beiter“ in der DSGVO angenommen. Zudem hat die Eu- ropäische Kommission im Juni 2021 neue Standardver- Codes of Conduct sind Verhaltensregeln, die die Anwen- tragsklauseln zur Auftragsverarbeitung herausgegeben, dung der DSGVO präzisieren. Das Bedürfnis für eine sol- zu denen der EDSA zuvor Stellung genommen hatte. che Präzisierung ergibt sich daraus, dass die Verordnung an vielen Stellen unbestimmt ist und Generalklauseln Der EDSA hatte 2020 die Konsultationsfassung der enthält. Verhaltensregeln können als Auslegungshilfen Leitlinien 07/2020 verabschiedet (vgl. 29. TB Nr. 3.2.1). herangezogen werden und dienen daher der Rechts- Nach Abschluss der öffentlichen Konsultation wurden sicherheit. Die DSGVO knüpft bestimmte, für die dem die Leitlinien noch leicht überarbeitet und präzisiert. Code of Conduct beigetretenen Unternehmen „positive“ Die Begriffe „Verantwortlicher“, „Gemeinsam Verant- Folgen an die Einhaltung der von der zuständigen wortliche“ und „Auftragsverarbeiter“ sind für die an der Behörde genehmigten Verhaltensregeln. So kann die Datenverarbeitung beteiligten Akteure von zentraler Einhaltung der genehmigten Verhaltensregeln z. B. als rechtlicher Bedeutung. Die Leitlinien geben Hilfestel- Gesichtspunkt herangezogen werden, um nachzuweisen, lung, wie diese Begriffe voneinander abzugrenzen sind. dass die Verantwortlichen ihre Pflichten erfüllen (Art. 24 Der Anhang der Leitlinien enthält ein Flow-Chart, das Abs. 3 DSGVO). es den beteiligten Akteuren ermöglicht, ihre Rolle bzgl. einer Datenverarbeitung zu prüfen. Die Leitlinien stehen Auch kann sie als Faktor herangezogen werden, um hin- auf der Seite des EDSA zum Abruf zur Verfügung11. Die reichende Garantien bei der Einhaltung der Anforderun- deutsche Fassung wird Anfang 2022 eingestellt werden. gen an den Auftragsverarbeiter (Art. 28 Abs. 5) oder die Erfüllung der in Art. 32 Abs. 1 genannten Anforderungen Ein weiteres wichtiges Dokument im Bereich der Auf- tragsverarbeitung sind die neuen Standardvertragsklau- an die Sicherheit der Verarbeitung nachzuweisen (Art. 32 seln, die die Kommission als Durchführungsbeschluss Abs. 3). Zudem ist sie bei der Datenschutzfolgenabschät- nach Art. 28 Abs. 7 DSGVO herausgegeben hat (Durch- zung zu berücksichtigen (Art. 35 Abs. 8). Zu erwähnen ist führungsbeschluss [EU] 2021/915, ABl. EU L 199, S. 18). insbesondere auch, dass die Einhaltung bei der Verhän- Die Kommission stellt mit den Standardvertragsklauseln gung von Geldbußen zu berücksichtigen ist (Art. 83 Abs. ein Muster für eine Auftragsverarbeitungsvereinbarung 2 Satz 2 lit. j) DSGVO). (Art. 28 Abs. 3 DSGVO) zur Verfügung. Wichtig ist, dass Der EU Cloud CoC adressiert alle Services des diese Standardvertragsklauseln nur für die innereu- Cloud-Marktes und konkretisiert insoweit die Anforde- ropäische und damit selbstverständlich auch für die rungen des Art. 28 DSGVO zur Auftragsverarbeitung und innerdeutsche Datenverarbeitung greifen. Sofern Daten der damit verbundenen Vorschriften der DSGVO. Cloud in Drittländer übermittelt werden, finden die neuen Service Provider sind Auftragsverarbeiter. Der EU Cloud Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c CoC gibt praktische Hilfe und definiert spezifische An- DSGVO Anwendung (vgl. Nr. 3.2.2.2). forderungen für Cloud-Service-Provider. Der CISPE CoC Querverweise: ist wie der EU Cloud CoC ein europäischer Verhaltensko- dex für Cloud Service Provider. Er adressiert aber anders 3.2.2 EDSA Schwerpunkt Drittlandübermittlung 11 https://edpb.europa.eu Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 23",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p23-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 24,
"content": "3.2.5 Leitlinien Recht auf Auskunft Art. 15 DSGVO Folgende Beispiele sind typisch für einige Fehlerquellen bei der Bearbeitung von Auskunftsersuchen durch die 3.2.5.1 Auskunftsanspruch bei den Sozialleistungsträ- Krankenkassen: gern →→ Ablehnung der Auskunftserteilung unter Berufung Obwohl die Vorschriften der DSGVO bereits seit dem 25. auf § 83 Abs. 2 SGB X Mai 2016 in Kraft getreten und seit dem 25. Mai 2018 als § 83 Abs. 2 SGB X schränkt den Auskunftsanspruch unmittelbar geltendes Recht anzuwenden sind, können auf nationaler Ebene ein, indem er den Anspruchs- eine Vielzahl von Sozialleistungsträgern dem daten- berechtigten anhält („soll“), grundsätzlich die Art der schutzrechtlichen Auskunftsanspruch als Betroffenen- Sozialdaten, über die Auskunft erbeten wird, näher recht noch immer nicht ordnungsgemäß Rechnung zu bezeichnen. Bei großen Organisationseinheiten tragen. – wie den Krankenkassen – ist dies die Regel, da sie Gemäß Art. 15 Abs. 3 S. 3 DSGVO sind die Informationen über komplexe Datenverarbeitungen verfügen. Von im Rahmen des Auskunftsanspruchs durch den Verant- daher ist die angeblich mangelnde Konkretisierung wortlichen in einem gängigen elektronischen Format des Auskunftsbegehrens durch den Betroffenen zur Verfügung zu stellen, soweit die betroffene Person kein absoluter Ausschlussgrund für die Auskunfts- den Antrag auf Auskunft elektronisch gestellt hat und erteilung. Wenn die Sozialdaten jedoch nicht sich nichts Gegenteiliges ergibt. Diesen Rechtsanspruch automatisiert oder nicht in automatisierten Daten- machten im Berichtszeitraum mehrere Beschwerdefüh- verarbeitungsanlagen gespeichert sind, d. h. analog rende in ihrem elektronischen Antrag auf Auskunft ge- in Papierform vorliegen, wird aus dem „soll“ ein genüber der Deutschen Rentenversicherung Bund (DRV „muss“. D. h. in diesem Fall muss die Krankenkasse Bund) geltend. Die entsprechenden Auskünfte nach Art. nur dann Auskunft geben, wenn der Antragsteller so 15 Abs. 3 S. 3 DSGVO wurden von der DRV Bund jedoch präzise Angaben macht, dass die Sozialdaten aufge- nicht in dem gesetzlich vorgeschriebenen elektroni- funden werden können (Art. 83 Abs. 2 S. 2 SGB X). schen Format zur Verfügung gestellt. Dies führte zu Zudem kann die Krankenkasse das Informationsinte- zahlreichen Eingaben, in Folge derer ich die DRV Bund resse und den Aufwand zum Auffinden der Sozial- zur Stellungnahme aufforderte. Daraufhin teilte mir die daten gegeneinander abwägen und soweit letzteres DRV Bund mit, dass sie derzeit kein geeignetes elektro- unverhältnismäßig ist, die Auskunft verweigern. nisches Verfahren zur Verfügung stellen kann, durch Danach kann der Krankenkasse beispielsweise nicht welches eine Auskunft nach Art. 15 Abs. 3 S. 3 DSGVO be- zugemutet werden, in großen Papierarchiven nach antragt und erteilt werden kann. Dies verstößt nachhal- tig gegen die DSGVO. Hinzu kommt, dass die DRV Bund den begehrten Informationen zu suchen. Angesichts seit Geltung der DSGVO (25. Mai 2018) ausreichend Zeit des Umfangs der Digitalisierung bei den Krankenkas- hatte, ein gängiges elektronisches Auskunftsverfahren sen dürfte diese Regelung allerdings nur noch selten zur Auskunftserteilung nach Art. 15 Abs. 3 S. 3 DSGVO anwendbar sein. zu implementieren. Aufsichtsrechtliche Maßnahmen →→ Ausschluss der mit dem Versicherten geführten werden derzeit vorbereitet. Korrespondenz Soweit der Auskunftsersuchende gemäß Art. 15 Abs. 3.2.5.2 Auskunftserteilung nach Art. 15 DSGVO durch 3 DSGVO Kopien der personenbezogenen Daten Krankenkassen anfordert, die Gegenstand der Verarbeitung sind, Im Berichtszeitraum erreichten mich zahlreiche Be- schließt der Verantwortliche hiervon gelegentlich schwerden, die Unsicherheiten der Krankenkassen im den mit dem Anspruchsteller geführten Schriftver- Umgang mit dem Auskunftsrecht ihrer Versicherten kehr aus. Dies erfolgt unter Berufung auf Erwägungs- gemäß Art. 15 DSGVO offenbarten. grund (EG) 62 der DSGVO, wonach sich die Pflicht, Das Auskunftsrecht gemäß Art. 15 DSGVO ist ein zentra- Informationen zur Verfügung zu stellen, erübrigt, les Instrument des Datenschutzes zur Herstellung von wenn die betroffene Person die Information bereits Transparenz in der Datenverarbeitung. Doch obwohl die hat. Verkannt wird hierbei, dass sich der genannte DSGVO nunmehr seit dem 25. Mai 2018 gilt, herrscht im Erwägungsgrund nicht auf den hier maßgeblichen Hinblick auf die praktische Umsetzung des Auskunfts- Art. 15 DSGVO bezieht, sondern auf die Art. 13 und rechts bei vielen Krankenkassen noch immer große Un- 14 DSGVO (Informationspflichten des Verantwortli- sicherheit. Dies zeigen die vielen Beschwerden gemäß chen). Der Anspruch aus Art. 15 DSGVO beinhaltet Art. 77 DSGVO der Versicherten, die mich um Unter- also grundsätzlich auch die mit dem Betroffenen stützung bei der Durchsetzung ihres Rechts ersuchten. geführte Korrespondenz. 24 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p24-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 25,
"content": "→→ Keine Differenzierung zwischen Auskunftsan- 3.2.6 Leitlinien für Streitbeilegungsverfahren vor dem spruch und Akteneinsichtsrecht EDSA In einigen Fällen musste ich feststellen, dass Auskunftsersuchen mit der Begründung abgelehnt Leitlinien für Streitbeilegungsverfahren vor dem EDSA wurden, es bestehe kein berechtigtes Interesse an beschreiben Verfahren, um zu einem verbindlichen einer Auskunft. Der Betroffene muss jedoch kein Beschuss für die europäischen Datenschutzbehörden berechtigtes Interesse darlegen. Sein Auskunftsan- zu gelangen. spruch gemäß Art. 15 DSGVO liegt – soweit keine Die Leitlinien “Guidelines 03/2021 on the application Ausschlussgründe vorliegen – grundsätzlich nicht im of Article 65(1)(a) GDPR” beschreiben den Ablauf eines Ermessen des Verantwortlichen. Der Grund für die Streitbeilegungsverfahrens durch den EDSA gemäß Art. fehlerhafte Rechtsauslegung der Krankenkassen lag 65 Abs. 1 lit. a) DSGVO. Das Streitbeilegungsverfahren häufig in der falschen Einordnung der Auskunfts- hat das Ziel, Streitigkeiten zwischen der federführenden ersuchen als Anträge auf Akteneinsicht gemäß § 25 Aufsichtsbehörde und den beteiligten Aufsichtsbehör- SGB X. Dieses Recht unterliegt tatsächlich strengeren den durch den EDSA verbindlich entscheiden zu lassen. Anspruchsvoraussetzungen und verlangt unter ande- Derartige Streitigkeiten können entstehen, wenn euro- rem ein berechtigtes Interesse, dass die Kenntnis des päische Aufsichtsbehörden bei einer grenzüberschrei- Akteninhalts erforderlich ist, um die rechtlichen In- tenden Verarbeitung von personenbezogenen Daten im teressen des Betroffenen geltend machen zu können. Rahmen ihrer von der DSGVO vorgesehenen Zusammen- Zur Vermeidung von Verfahrensverzögerungen rate arbeit im Kooperationsverfahren keinen Konsens finden ich deshalb den Betroffenen, sich bei Antragsstellung konnten. In solchen Fällen muss die Angelegenheit dem ausdrücklich auf Art. 15 DSGVO zu berufen. EDSA vorgelegt werden, der sodann einen verbindlichen →→ Verweigerung der Anspruchserfüllung in elektroni- Beschluss erlässt und damit dem Ziel einer einheitlichen scher Form Rechtsanwendung auch in Einzelfällen Rechnung trägt. Vereinzelt haben sich Betroffene darüber beschwert, Die Leitlinien beschreiben u. a. den Ablauf des Verfah- dass Krankenkassen ebenso wie andere Träger von rens und die Voraussetzungen, unter denen der EDSA Sozialleistungen Kopien personenbezogene Daten einen verbindlichen Beschluss erlassen kann, sowie nicht in einem elektronischen Format zur Verfü- seine Entscheidungsbefugnis. Sie stellen damit wichtige gung stellten. Darauf hat der Antragsteller oder die Regeln auf und haben in den 2021 durchgeführten Streit- Antragstellerin aber dann einen Anspruch, wenn der beilegungsverfahren bereits Anwendung gefunden. Antrag selbst ebenfalls elektronisch gestellt wurde (Art. 15 Abs. 3 S. 3 DSGVO). Der Einwand angeblich fehlender technischer Voraussetzungen oder eines 3.3 Global Privacy Assembly unverhältnismäßigen Aufwands lässt die DSGVO bei der elektronischen Anspruchserfüllung nicht gelten. 3.3.1 Allgemeiner Bericht Die Krankenkassen sind zu dieser Form der Aus- Der BfDI war im Berichtsjahr Mitglied im Leitungsgre- kunftserteilung verpflichtet. mium der Global Privacy Assembly (GPA). Dieses Execu- →→ Fristversäumnis tive Committee nimmt wichtige Aufgaben wahr, die für Wiederholt erreichten mich im Berichtszeitraum die GPA und dessen Stimme in der Welt von wesentli- Beschwerden von Versicherten darüber, dass die cher Bedeutung sind. Die diesjährige Vollversammlung Krankenkasse ihre Auskunftsersuchen nicht inner- der GPA hat zahlreiche Datenschutzthemen bearbeitet halb der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO und wegweisende Entschließungen verabschiedet. bescheiden. Häufiger Grund hierfür sind interne Wie ich bereits in meinem letzten TB berichtet habe, Kommunikations- und Ablaufmängel. In den meis- wurde ich im Oktober 2020 in das Executive Committee ten Fällen konnte ich hier eine kurzfristige Erledi- (ExCo) GPA gewählt. Zusätzlich zu den fünf gewählten gung der Angelegenheit erreichen. Mitgliedern sind jeweils der vergangene und der aktuelle Gastgeber der Jahreskonferenz Mitglieder im Executive Committee12. Das ExCo hat als Leitungsgremium der GPA den Über- blick über die Themen der einzelnen Arbeitsgruppen 12\t\u0007Die Mitglieder des ExCo´s samt Lebensläufe sind auf der Internetseite der GPA veröffentlicht: https://globalprivacyassembly.org/the-assem- bly-and-executive-committee/executive-committee/ Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 25",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p25-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 26,
"content": "und darüber, wie die Ziele der GPA vorangebracht auf private Daten durch Nachrichtendienste und Sicher- werden. Der Auftrag und die politischen Schwerpunkte heitsbehörden behandelt und dafür datenschutzrechtli- werden in der GPA durch Entschließungen festgelegt. Im che Grundsätze aufzeigt (s. Nr. 3.4.3). Berichtsjahr wurden die Umsetzung der Strategischen Die GPA Jahreskonferenz 2022 wird von der türkischen Planung 2019-2021 sichergestellt und die Weichen für die Datenschutzbehörde (KVKK) ausgerichtet. Strategische Planung in den kommenden Jahren (2021-2023) gestellt. Querverweise: Eine weitere bedeutende Aufgabe des ExCo ist die 3.3.2 Reference Panel, 3.4.2 Berlin Group, 3.4.3 Da- Vertretung der GPA nach außen. So kann es beispiels- tenschutzgrundsätze für den staatlichen Zugriff auf weise gemeinsame Stellungnahmen (joint statement) zu personenbezogene Daten im internationalen Bereich, globalen Themen abgeben. Dies war im Berichtsjahr der 4.2 Künstliche Intelligenz – Regulierung als gesamtge- Fall, als Gesundheitsdaten bei nationalen und internatio- sellschaftliche Aufgabe nalen Reisen verarbeitet wurden. Hier hat sich das ExCo nicht generell gegen deren Verarbeitung ausgesprochen, 3.3.2 Reference Panel sondern vielmehr auf die Bedeutung von wesentlichen Die Global Privacy Assembly – eine weltweite Vereini- Datenschutzgrundsätzen und Praktiken hingewiesen. gung von Datenschutzbehörden – hat im März 2021 mit Höhepunkt der Arbeit der GPA ist die Jahreskonferenz, dem „Reference Panel“ ein neues Gremium mit unab- die im Berichtsjahr aufgrund der Einschränkungen hängigen Fachexpertinnen und -experten geschaffen. durch Covid-19 nur digital stattfinden konnte. Sie wurde Ich habe den ersten Vorsitz im Panel übernommen. von der mexikanischen Aufsichtsbehörde organisiert. Die Global Privacy Assembly (GPA), die bis 2019 unter Das Motto war: „Privacy and Data Protection: A human dem Namen „International Conference of Data Protec- centric approach”; der Mensch soll beim Datenschutz tion and Privacy Commissioners” bekannt war, hatte in den Mittelpunkt gestellt werden. Bei den vielfältigen bei ihrer 40. Konferenz 2018 in Brüssel eine Reihe von Programmpunkten haben Covid-19 und neue Technolo- Maßnahmen beschlossen, um sich selbst zu moderni- gien – insbesondere KI – eine bedeutende Rolle einge- sieren und den Anforderungen des digitalen Zeitalters nommen. besser gerecht zu werden. Neben einem neuen Namen Die GPA hat auch wichtige Entschließungen verabschie- – Global Privacy Assembly – gehörte zu diesen Maßnah- det, an deren Ausarbeitung ich mitgewirkt habe. Einen men die Einrichtung eines Gremiums mit unabhängigen besonderen Stellenwert hat hier der Strategieplan für Expertinnen und Experten, die verschiedene Bereiche, die Jahre 2021-23. Immer bedeutsamer wird der stetig z. B. Wissenschaft, Nichtregierungsorganisationen, freie zunehmende internationale Datentransfer. Der zuneh- Wirtschaft oder öffentliche Behörden, vertreten sollen. mende Datenfluss darf aber nicht zu einer Aufweichung Dieses neue Gremium externer Fachleute hat die Aufga- oder gar einer Abschaffung des Datenschutzes führen. be, zusätzliche Expertise und Sichtweisen von außer- Hier will die GPA praktische Herangehensweisen erar- halb in die GPA einzubringen. Damit soll sichergestellt beiten, wie Personen geschützt werden können, deren werden, dass die Arbeiten der GPA für alle beteiligten personenbezogene Daten verarbeitet werden. Damit Stellen und Akteure in der digitalen Gesellschaft relevant soll sichergestellt werden, dass in Zeiten des technologi- und nützlich sind. schen Fortschritts und datenbasierter Geschäftsmodelle Nachdem die 42. Jahresversammlung der GPA im Herbst die GPA-Stimme weiterhin gehört wird. Eine weitere 2020 ein Konzept und den Namen für das neue Gremium Entschließung stammt aus der Covid-19-Arbeitsgruppe – GPA Reference Panel – beschlossen hatte, begann zu der GPA. Der Fokus ihrer Arbeit lag zunächst auf unmit- Beginn des Berichtsjahres der Auswahlprozess geeigne- telbaren Maßnahmen der Pandemiebekämpfung. Daran ter Panel-Mitglieder unter Federführung einer zu diesem anknüpfend richtet die Gruppe ihren Blick stärker in die Zweck eingesetzten „GPA Reference Panel Assessment Zukunft über den engen Bezug zur COVID-19-Pandemie Group“, die vom Vorsitz der GPA, der britischen Daten- hinaus. schutzbehörde UK Information Commissioner (ICO), Das Mandat der Gruppe wird erweitert um sämtliche geleitet wurde und deren Arbeiten ich unterstützt habe. Aspekte der Datenverarbeitung zu Zwecken des Allge- Dabei ist es gelungen, insgesamt 16 namhafte Daten- meinwohls. Ein für die GPA als Organisation wichtiger schutz-Expertinnen und Experten aus Deutschland und Entschluss war die Entscheidung, ein durch Mitglieds- aus Europa in diese internationale Gruppe zu beru- beiträge finanziertes GPA-Sekretariat einzurichten. fen. Den beiden Mitgliedern aus Deutschland, Herrn Schließlich ist die Entschließung zum „Government Andreas Mundt, Präsident des Bundeskartellamt, und Access“ zu nennen, welche die Problematik des Zugriffs Frau Prof. Franziska Böhm vom Karlsruher Institut für 26 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p26-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 27,
"content": "Technologie (KIT), danke ich ganz besonders für Ihre 3.4 Weitere internationale Bereitschaft, an dem GPA Reference Panel mitzuwirken. Gremien In meiner Eigenschaft als Mitglied des „Executive Committee“ der GPA, dem ich seit Oktober 2020 an- 3.4.1 G7 gehöre, habe ich den Vorsitz im GPA Reference Panel Die britische Datenschutzbeauftragte hat im Berichts- übernommen. Dessen erste Aufgabe bestand darin, den jahr die Datenschutzbehörden der G7-Staaten zu einem Gastgeber des 43. Jahrestreffens der GPA, die mexikani- Gespräch am Runden Tisch eingeladen. Hintergrund sche Datenschutzbehörde INAI, im Herbst 2021 bei der dieser Einladung war der Vorsitz des Vereinigten König- Erstellung des inhaltlichen Programms der Tagung zu reichs beim G7-Gipfel 2021. In dem Gespräch wurden unterstützen. Eine weitere wesentliche Aufgabe des GPA Möglichkeiten für eine fortgesetzte engere Zusammen- Reference Panels besteht darin, die Berichte und Papiere arbeit in dieser Gruppe erörtert. der thematischen Arbeitsgruppen der GPA einer kriti- schen Prüfung im Sinne einer „peer review“ zu unterzie- Weltweit werden immer mehr Daten generiert, ge- hen, sofern dies von den Vorsitzenden der betreffenden sammelt und genutzt. In einer zunehmenden globali- Arbeitsgruppen oder einem Autoren-Team eines solchen sierten und digitalisierten Welt fließen die Daten über Berichts gewünscht wird. Auch in Bezug auf diese die Grenzen der Länder und Kontinente hinweg. Hier Aufgabe des Panels begrüße ich, dass hierzu eine rege müssen die Datenschutzaufsichtsbehörden international Nachfrage von Seiten der GPA-Arbeitsgruppen bereits zusammenarbeiten, um den Datenschutz zu wahren. in der ersten Zeit seines Bestehens bestand. So haben Wenn die Daten von deutschen und europäischen Bürge- verschiedene Mitglieder des GPA Reference Panels einen rinnen und Bürgern den jeweiligen Rechtsraum verlas- umfassenden Bericht der Policy Strategy Working Group sen, dürfen sie nicht schutzlos sein. Um diesen Schutz – Workstream 3 zum Thema „Datenschutz und andere zu verbessern, ist eine Vertiefung und Erweiterung der Grundrechte bzw. im Verhältnis zu anderen Grundrech- internationalen Zusammenarbeit unerlässlich. ten“ analysiert und den Verfasserinnen und Verfassern Im September 2021 trafen sich die Behörden für den Da- ausführlich geantwortet. tenschutz und den Schutz der Privatsphäre der G7-Staa- Aus meiner Sicht ist es für die Global Privacy Assem- ten auf Einladung der damaligen britischen Daten- bly von entscheidender Bedeutung, dass sie „über den schutzbeauftragten, Frau Elizabeth Denham, erstmalig Tellerrand“ hinaus blickt und die Verbindung zur Zivil- zu einem gemeinsamen Gespräch am Runden Tisch. An gesellschaft sowie zu wichtigen Akteuren des digitalen diesem neuen internationalen Format nahmen auch das Zeitalters sucht. Nur dann wird die GPA weiterhin am Weltwirtschaftsforum und die OECD teil. Das Treffen Puls der Zeit bleiben und in der Lage sein, sich früh- stand in Zusammenhang mit dem britischen Vorsitz des zeitig neuen Entwicklungen zu widmen und sich für G7-Gipfels 2021 der Staats- und Regierungschefs. datenschutzfreundliche Lösungen einzusetzen. Als Im April 2021 haben die Digital und Technologieminister Vorsitzender des GPA Reference Panels möchte ich dazu der G7-Staaten einen Fahrplan für die Zusammenarbeit beizutragen, diese Ziele zu erreichen. zur Förderung des freien und vertrauenswürdigen Da- Querverweise: tenflusses (Data Free Flow with Trust) beschlossen. Hier sollen Gemeinsamkeiten bei den Regulierungen des 3.3.1 Allgemeiner Bericht internationalen Datentransfers identifiziert sowie gute Regulierungspraktiken und Kooperationsmöglichkeiten ausgetauscht werden. Der Runde Tisch war ein Beitrag der Datenschutzbehörden zu diesem wichtigen Thema. Die Erklärung der G7-Digital und Technologieminister zum freien und vertrauenswürdigen Datenfluss 2021 basiert auf →→ der Erklärung der Staats- und Regierungschefs der G20-Staaten 2019 in Osaka (Osaka Leader´ Declarati- on), →→ der Ministererklärung zum Handel und der digitalen Wirtschaft (2019 G20 Ministerial Statement on Trade and Digital Economy) Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 27",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p27-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 28,
"content": "→→ sowie der Erklärung der Staats- und Regierungschefs Technology“ (IWGDPT) dauerhaft übernommen. Da die der G20 Staaten in Riad (2020 G20 Leaders’ Riyadh Gruppe 1983 auf Veranlassung des damaligen Berliner Declaration). Datenschutzbeauftragten gegründet worden war und Der freie und vertrauenswürdige Datenfluss ist seit meh- zunächst häufig in Berlin tagte, wurde die IWGDPT auch reren Jahren ein Thema in den Abschlusserklärungen als „Berlin Group“ bekannt. der G7 und G20 Treffen. Dies zeigt noch einmal dessen wachsende Bedeutung. Das Besondere der IWGDPT ist – neben ihrer langen Tra- dition – ihre Unabhängigkeit und Diversität. Hier wirken Erörtert wurden am Runden Tisch Möglichkeiten für neben Angehörigen von Datenschutzbehörden auch Ex- eine engere Zusammenarbeit der Datenschutzbehörden pertinnen und Experten aus den Bereichen Wissenschaft der G7-Staaten. In einem gemeinsamen Kommuniqué13 und Forschung, von Nichtregierungsorganisationen oder wurden Kernthesen zu folgenden Themen festgehalten: datenschutzbezogenen Denkfabriken („Think-Tanks“). →→ Datenschutz und Wettbewerb Auch Behörden oder Einrichtungen, die mit der Regulie- rung datenschutzrelevanter Bereiche oder Dienstleistun- →→ Online Tracking gen befasst sind, gehören dazu. →→ Künstliche Intelligenz Die IWGDPT ist zwar von der GPA unabhängig und be- →→ Neugestaltung von Abhilfemöglichkeiten für das stimmt selbst über ihre thematischen Schwerpunkte und digitale Zeitalter ihre Ausrichtung. Gleichwohl steht sie in einem näheren Verhältnis zur GPA. So berichtet der Vorsitz der IWGDPT →→ pandemiegetriebene technologische Innovationen im Plenum der GPA-Jahreskonferenz regelmäßig über →→ „Government Access“ und die die Tätigkeiten der Gruppe. →→ Entwicklung eines Rahmens für den Internationalen Die IWGDPT konnte ihre Arbeiten im Berichtszeitraum Datentransfer. mit Einschränkungen auch während der Corona-Pande- Zu den einzelnen Bereichen wurde ein fortgesetzter mie fortsetzen. So hat die Gruppe ein Arbeitspapier zu Dialog zwischen den Behörden und ein Roundtable im sensorischen Netzwerken finalisiert, an einem Doku- Jahre 2022 vereinbart, den ich anlässlich der deutschen ment zu sprachgesteuerten Geräten“ weitergearbeitet G7-Präsidentschaft organisieren möchte. Angesichts der und mit neuen Arbeiten zu den Themen intelligente Bedeutung der Digitalisierung bitte ich die Bundesregie- Stadt („Smart Cities“) sowie Gesichtserkennungstechno- rung im Rahmen ihrer G7-Präsidentschaft, den Dialog logie begonnen. In meiner neuen Funktion als Vorsit- mit den Datenschutzbehörden im G7-Format fortzufüh- zender der IWGDPT werde ich mich sehr dafür einset- ren. zen, die Intensität des Dialogs und die hohe Qualität der Arbeitspapiere und Empfehlungen der IWGDPT fortzu- Querverweise: führen. 3.4.3 Datenschutzgrundsätze für den staatlichen Zu- Querverweise: griff auf personenbezogene Daten im internationalen Bereich, 4.2 Künstliche Intelligenz – Regulierung als 3.3.1 Global Privacy Assembly gesamtgesellschaftliche Aufgabe, 6.3 Kooperation zwi- schen Kartell- und Datenschutzaufsichtsbehörden 3.4.3 Datenschutzgrundsätze für den staatlichen Zugriff auf personenbezogene Daten im internationalen Bereich 3.4.2 Berlin Group In verschiedenen internationalen Foren sollen ge- Seit 1983 besteht die Internationale Arbeitsgruppe meinsame Datenschutzprinzipien für den Zugriff von zum Datenschutz in der Technologie, die unabhängige Strafverfolgungs- und Sicherheitsbehörden auf perso- Expertinnen und Experten versammelt. Im März 2021 nenbezogene Daten privater Stellen vereinbart werden. habe ich den Vorsitz von der Berliner Datenschutzbe- Solche gemeinsamen Grundsätze für „Government Ac- auftragten übernommen. cess“ können einen wichtigen Beitrag für eine rechtlich Im März des Berichtsjahres habe ich den Vorsitz der befriedigende Gestaltung des grenzüberschreitenden internationalen Arbeitsgruppe zu Datenschutz in Tech- Datenaustauschs leisten und das Datenschutzniveau nologie „International Working Group Data Protection in auch außerhalb der EU anheben. 13 Kurzmeldung des BfDI vom 14. September 2021 zu finden unter: www.bfdi.bund.de/kurzmeldungen 28 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p28-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 29,
"content": "Der staatliche Zugriff auf personenbezogene Daten, die Datenschutzrecht einen verbindlichen rechtlichen durch private Stellen verarbeitet werden, stand im Jahr Rahmen für die Übermittlung personenbezogener Daten 2020 im Mittelpunkt verschiedener datenschutzrechtli- in Drittstaaten vor. Daraus ergibt sich für meine Arbeit cher Initiativen. ein Spannungsfeld: Die Vereinbarung internationaler Unter dem Stichwort „Government Access“ wurde vor Prinzipien kann zwar einen wichtigen Beitrag leisten, allem der Zugriff von Strafverfolgungs- und Sicherheits- grenzüberschreitenden Datenaustausch nachhaltig zu behörden im Kontext grenzüberschreitender Daten- ermöglichen und das Datenschutzniveau außerhalb der verarbeitungen in mehreren internationalen Foren EU anzuheben. Europäische Datenschutzstandards dür- behandelt. Das gilt insbesondere für die Arbeiten im fen dabei jedoch nicht unterschritten werden. Rahmen der Global Privacy Assembly (GPA) und der Die GPA hat auf ihrer Jahreskonferenz im Oktober 2021 Organisation für wirtschaftliche Zusammenarbeit und eine Entschließung zur Stärkung datenschutzrechtlicher Entwicklung (OECD). Darauf aufbauend haben auch die Grundsätze für „Government Access“ verabschiedet. Datenschutzaufsichtsbehörden der G7-Staaten das The- An der Ausarbeitung der „Resolution on government ma „Government Access“ diskutiert. Hintergrund sind access to data, privacy and the rule of law: principles for die Bemühungen, auf internationaler Ebene gemein- governmental access to personal data held by the private same Datenschutzprinzipien für „Government Access“ sector for national security and public safety purposes“ zu vereinbaren. Anlass dieser Bemühungen ist auch die habe ich aktiv mitgewirkt. Im Rahmen der OECD werden Schrems II-Rechtsprechung des EuGH. Das Gericht stellt sog. „Principles on government access to personal data für die Bewertung des Datenschutzniveaus in Drittlän- held by the private sector“ verhandelt, die bislang jedoch dern maßgeblich auf den Schutz personenbezogener noch nicht beschlossen werden konnten. Daten vor Zugriffen durch Sicherheitsbehörden ab. Ich begrüße es, dass die GPA die gemeinsamen Daten- Der Zugriff der Sicherheitsbehörden auf Daten privater schutzprinzipien im Oktober angenommen hat. Zugleich Stellen ist ein sensibles Thema. Berührt werden Fragen hoffe ich, dass die Arbeiten innerhalb der OECD im der nationalen Sicherheit der einzelnen Staaten. Zu- Sinne des Datenschutzes vorangebracht werden kön- gleich zeigt sich die Bedeutung des freien Datenverkehrs nen und dabei die von der GPA gefundenen Ergebnisse für die weltweite digitale Wirtschaft. Die Entwicklungen berücksichtigt werden. der letzten Jahre haben deutlich gezeigt, dass fehlende oder unzureichende internationale Datenschutzgaranti- Auf Ebene der G7 habe ich mich für einen weiteren en nicht allein ein Risiko für den Schutz personenbezo- intensiven Meinungsaustausch eingesetzt. Dadurch gener Daten sind. Sie haben auch erhebliche wirtschaft- sollen die von der GPA entwickelten Grundsätze sowie liche Auswirkungen. die OECD-Initiative datenschutzpolitisch unterstützt werden. Für das europäische Datenschutzrecht sind diese Initia- tiven eine Herausforderung. Es ist einerseits erstrebens- Querverweise: wert, gemeinsame internationale Datenschutzgrund- 3.2.2.1 Taskforce Supplementary Measures/Umsetzung sätze zu schaffen. Andererseits gibt das europäische Schrems II, 3.3.1 Allgemeiner Bericht, 3.4.1 G7 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 29",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p29-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 30,
"content": "4 Schwerpunktthemen 4.1 Corona Datenschutz braucht „digitale Souveränität“ Ohne das GAEN der Betriebssystemhersteller Apple 4.1.1 Corona-Warn-App und Google wäre die CWA im vergangenen Jahr nicht realisierbar gewesen. Die allgemeine Kritik an der Ver- Seit dem 16. Juni 2020 ermöglicht die Corona-Warn-App wendung des GAEN und insbesondere der Vorwurf eines (CWA) der Bundesregierung ihren Nutzenden, sich unberechtigten Abgreifens von Daten wurden zunächst gegenseitig schnell und datenschutzfreundlich über nicht durch nachvollziehbare Belege behauptet. Am Risikobegegnungen zu warnen. Neben der Kontakt- 12. April 2021 jedoch veröffentlichte das Unternehmen nachverfolgung sind seitdem weitere Funktionen „appcensus“ eine Sicherheitslücke in Googles API for Ex- hinzugekommen. Beim Datenschutz verhindert die posure Notifications. Danach konnten installierte Apps Abhängigkeit von den Betriebssystemherstellern Apple auf die Daten des GAEN zugreifen. Zwar sicherte Google und Google weitere Verbesserungen. Ob die CWA ihre mir in der Folge zu, die Lücke geschlossen zu haben; ob Zwecke erfüllt, hat das Robert Koch-Institut (RKI) die Lücke ausgenutzt wurde, ist aber nicht bekannt. evaluiert. Leider blieb das GAEN nicht die einzige Funktion Ich habe dem RKI auch nach dem 16. Juni 2020 bei der der beiden Betriebssystemhersteller, die in der CWA Einführung der neuen Funktionen, unter anderem verwendet wird. Anlässlich der Datenerhebungen zur der Kontaktverfolgung beim Besuch von Lokalitäten Evaluierung der CWA wurde die Integritätsprüfung der (Eventregistrierung) und der Integration der Test- und Firmen Apple und Google in die CWA integriert. Welche Impfzertifikate in die CWA, beratend zur Seite gestan- Daten dabei an die beiden Betriebssystemhersteller zur den. Darüber hinaus habe ich die datenschutzrechtliche Prüfung gesendet werden, ist nicht bekannt. Geplant ist Aufsicht wahrgenommen und Beschwerden aus der auch, die aufgrund eines Smartphonewechsels durchaus Bevölkerung bearbeitet. Besonders viele Beschwerden wünschenswerte Funktion des Exports und anschließen- bezogen sich auf fehlende Möglichkeiten, die CWA z. B. den Imports der CWA-Nutzerdaten mit Hilfe betriebssys- auch direkt vom RKI und nicht nur über die Plattformen temeigener Funktionen zu realisieren. Apple und Google der Firmen Apple und Google beziehen zu können sowie könnten dann Zugriff auf die Daten der CWA nehmen. die „Zwangsinstallation“ des für die Abstandsmessung nötigen Google/Apple Exposure Notifications (GAEN), Die Gründe für den Rückgriff auf Dienste der Betriebs- das jedoch Teil der Betriebssysteme ist und deshalb systemhersteller Apple und Google reichten dabei von nicht in meinen rechtlichen Zuständigkeitsbereich fällt. „zwingend notwendig“ (GAEN) über „im Sinne der Vali- dierung notwendig und der Nutzerregistrierung vorzu- Datenschutz erleichtert akzeptierte und bedarfsge- ziehen“ (bei der Evaluierung) bis zum „nachvollziehba- rechte Lösungen ren Nutzerwunsch“ (Daten-Im- und -Export). Mit annähernd 39 Millionen Downloads bis Ende 2021 ist Ich habe dem RKI in diversen Stellungnahmen stets die CWA europaweit die größte und eine der am meis- deutlich gemacht, wenn möglich auf die Dienste der ten akzeptierten Apps dieser Art. Am Vertrauen, dass Betriebssystemhersteller zu verzichten und Alternativen die CWA genießt, hat der Datenschutz einen wichtigen vorgeschlagen. Das dies bislang auf keinerlei Resonanz Anteil. Er verhindert keinesfalls den Erfolg, sondern ist gestoßen ist, bleibt aus meiner Sicht das größte Manko im Gegenteil ein Erfolgsfaktor. beim Datenschutz der CWA. Ich halte es für geboten, Die CWA belegt auch, dass datenschutzfreundliche Lö- die Folge- und Weiterentwicklung der CWA so weit wie sungen nicht zulasten der Funktion gehen müssen: Kei- möglich unabhängig von den Betriebssystemherstellern ne geeignete geplante Funktion musste aus Gründen des Apple und Google zu machen, um die fehlende digitale Datenschutzes eingeschränkt werden oder gar entfallen. Souveränität in der EU nicht noch weiter zu zementieren. 30 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p30-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 31,
"content": "Erfüllt die CWA ihre Zwecke? die Nutzende den Test mit einem QR-Code registrieren (QR-Code-Verfahren). Außerdem muss das Testlabor Das RKI legte bereits zum Start der CWA fest, dass deren diesen QR-Code verarbeiten können. Auch im Jahr 2021 Zwecke zu evaluieren sind. Dieser Aufgabe kam das RKI war dies nicht bei allen Laboren der Fall. Die Nutzenden mit zwei Berichten im April und September 2021 nach. mussten dann telefonisch eine „tele-TAN“ anfragen um Danach sehe ich durchaus Verbesserungspotentiale für ihr positives Testergebnis zu teilen. Dieses aufwändigere künftige Entwicklungen. und aus Sicht des Datenschutzes eher unerwünschte Damit ein PCR-Testergebnis auf das SARS-Cov-2 Virus Verfahren (die Nutzenden müssen ihre Rufnummer schnell und direkt in die CWA gelangt, muss der oder hinterlegen) vermindert die Teilungsquote der positi Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 31",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p31-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 32,
"content": "ven Testergebnisse. Ob das „tele-TAN“-Verfahren auch 4.1.2 SORMAS künftig nötig sein wird und welche Maßnahmen geplant Um endlich von Papier und Fax zu einer effizienten und sind, um dieses obsolet zu machen, hat das RKI bislang datenschutzkonformen digitalen Kontaktnachverfol- nicht evaluiert. gung in den Gesundheitsämtern zu kommen, war eine Das QR-Code-Verfahren hat sich in der Praxis gut be- intensive Begleitung des Projektes erforderlich. währt: Laut RKI erhielten rund drei Viertel derjenigen, Bei der Software SORMAS handelt es sich um ein Kon- die diese Verfahren nutzten, ihr Ergebnis innerhalb taktpersonenmanagement im Rahmen der SARS-CoV-2- von 24 Stunden. In den allermeisten Fällen ist damit die Pandemie, über die ich in meinem 29. Tätigkeitsbericht Voraussetzung erfüllt, die Testergebnisse rechtzeitig zu (Nr. 4.1.3) berichtet habe. Die Gesundheitsämter sollen teilen. durch die Software bei der Identifizierung und Überwa- Ein Zweck der CWA besteht darin, andere Nutzende chung von Kontaktpersonen unterstützt werden, indem aufgrund einer Begegnung mit einer infizierten Person Symptomangaben von Kontaktpersonen ohne telefoni- zu warnen. In diesen Fällen zeigt die CWA der Empfan- sche Rückfragen erfasst und Daten zu Fallmeldungen genden eine „rote Kachel“. Das RKI erklärte laut Evalu- mit anderen Gesundheitsämtern ausgetauscht werden ierungsbericht, dass „die überwiegende Zahl kritischer können. Neben dem digitalen Empfang von Labormel- Kontakte von der Corona-Warn-App richtig erkannt dungen sollen darüber hinaus auch Falldaten digital an werde“. die Landesbehörden gemeldet werden. Bereits auf der Ministerpräsidentenkonferenz am 16. November 2020 Die Erhebungen des RKI bei den Nutzenden der CWA wurde der bundesweite Einsatz von SORMAS in den bestätigen diese These zumindest teilweise: Nutzen- Gesundheitsämtern beschlossen. de, die aufgrund einer „roten Kachel“ der CWA einen SARS-CoV-2 Test machten, hatten häufiger ein positives In Abstimmung mit den beteiligten Datenschutzauf- Testergebnis als der Schnitt aller Getesteten. sichtsbehörden der Länder habe ich nach gemeinsamer Erörterung der eingereichten Unterlagen im Januar 2021 Ich vermisse im Evaluationsbericht Erkenntnisse über einem Betrieb von SORMAS-X in den Gesundheitsäm- die Möglichkeiten und Grenzen der Kontaktnachverfol- tern unter Vorbehalt zugestimmt. Voraussetzung dafür gung mit Hilfe der CWA. Sollte die Kontaktnachverfol- war eine schriftliche Zusicherung, dass die Unterlagen gung aus epidemiologischer Sicht auch bei künftigen im laufenden Betrieb nachgebessert und vervollständigt Pandemien eine wichtige Rolle spielen, wäre dies werden. Das sollte ermöglichen, im Zuge der Risiko- dringend nachzuholen, auch um die Treffsicherheit der bewertung Risiken zu erkennen und nötige technische Warnungen weiter zu erhöhen und organisatorische Maßnahmen zu ergreifen. Dieses Zusammenfassend ist die CWA aus meiner Sicht im sollte schnellstmöglich unter Einsatz hinreichender internationalen Vergleich und national zu einer erfolg- Ressourcen erfolgen. Die Datenschutzfolgeabschät- reichen Referenz bei der Bekämpfung der Pandemie mit zung wurde nur als Entwurf vorgelegt. Nötig war auch Smartphone-Apps geworden. Mein Fazit fällt daher posi- ein Kryptographiekonzept. Die Beratung wurde ab Juli tiv aus, auch weil – nach anfänglichem Zögern – weitere 2021 noch einmal intensiviert und eine Arbeitsgruppe nützliche Funktionen wie die Eventregistrierung sowie unter meiner Beteiligung und der mehrerer Landesda- der Impf- und Testnachweis mit der CWA hinzugekom- tenschutzbeauftragten eingerichtet. Hintergrund war, men sind. dass die Fortschritte seitens des Helmholtz-Zentrum für Infektionsforschung (HZI) über einen längeren Zeitraum Dennoch sehe ich auch Grenzen beim Einsatz und der nicht den Erwartungen entsprachen, die die Landes- Wirkung solcher Apps. Eine Evaluierung sollte Unzu- beauftragten und ich an ein solches Projekt gestellt länglichkeiten und Verbesserungsmöglichkeiten ebenso haben. So wurden Fristen zur Vorlage von Dokumenten, enthalten wie die mögliche Rolle einer CWA in einem hinsichtlich derer noch erheblicher Beratungsbedarf Gesamtkonzept zur Pandemiebekämpfung, bei der sie besteht, wie beispielsweise das Löschkonzept, die Daten- mit anderen Maßnahmen zusammenwirkt. Vor allem feldertabelle sowie die Datenschutzfolgenabschätzung, hier scheint noch ein großes Verbesserungspotenzial mehrfach über mehrere Monate verschoben. Zum Ende vorhanden zu sein. des Berichtszeitraums hat sich die Zusammenarbeit des HZI mit den Datenschutzaufsichtsbehörden des Bundes und der Länder verbessert. Ich gehe davon aus, dass die Beratung dieses hochagilen Projektes im Laufe der ersten Jahreshälfte 2022 abgeschlossen werden kann. 32 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p32-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 33,
"content": "4.1.3 Digitales COVID-Zertifikat der EU Die Verordnung über das digitale COVID-Zertifikat der EU ist am 1. Juli 2021 in Kraft getreten. Drei Zertifika- Ursprünglich ging es um Reiseerleichterungen auf te werden definiert: Impfung, Test und Genesen. Die europäischer Ebene. Am Ende standen datenschutz- Mitgliedstaaten müssen die Zertifikate in Papierform freundliche Nachweise der Covid-19-Zertifikate im und digital anbieten. Die Verwendung der Zertifikate Alltag. ist freiwillig. Sie sind diskriminierungsfrei, da sie keine Am 17. März 2021 hat die EU-Kommission einen Verord- Reisebeschränkungen in Europa schaffen, sondern nungsentwurf zum Digital Green Certificate vorgelegt. vielmehr den grenzüberschreitenden Verkehr für die Die EU-VO soll grenzüberschreitende Reiseerleichte- Inhaber erleichtern, indem gegebenenfalls auf weitere rungen für EU-Bürger und -Bürgerinnen während der Maßnahmen der einzelnen Mitgliedstaaten während der Corona Pandemie innerhalb der EU ermöglichen. Corona Pandemie (z. B. Quarantäneregelungen) verzich- tet werden kann. Es findet weder Tracking (zeitgleiche Der Europäische Datenschutzausschuss (EDSA) und der Nachverfolgung) noch Tracing (nachträgliche Nachver- Europäische Datenschutzbeauftragte (EDSB) haben hier- folgung) statt. Die Zertifikate dienen der Authentifizie- zu am 31. März 2021 eine gemeinsame Stellungnahme rung sowie der Feststellung des Status der Inhaber beim (Joint Opinion) verabschiedet. Demnach sollte jede auf Grenzübertritt. Personenbezogene Daten werden von nationaler Ebene oder auf EU-Ebene erlassene Maß- den kontrollierenden Stellen nicht gespeichert. nahme, die die Verarbeitung personenbezogener Daten Die Verordnung und damit die Zertifikate sind zeitli beinhaltet, im Einklang mit den allgemeinen Grundsät- ch befristet. Sobald die WHO die Corona-Pandemie für zen der Wirksamkeit, Notwendigkeit und Verhältnismä- beendet erklären wird, setzt die EU-Kommission die ßigkeit stehen. Außerdem sollten die Datenverarbeitun- Verordnung mit einem legislativen Akt außer Kraft. Die gen auf einer angemessenen Rechtsgrundlage in den Verordnung selbst erlaubt die Nutzung der Zertifikate Mitgliedstaaten basieren. Gleichzeitig ersuchten der lediglich zu einem Zweck – die Erleichterung der Reise- EDSA und der EDSB die EU-Kommission klarzustellen, freiheit. Sie eröffnet den Mitgliedstaaten zusätzlich die dass die Mitgliedstaaten alle drei Arten von Zertifikaten Möglichkeit einer weiteren Nutzung (z. B. Zugang zu Ver- (geimpft, genesen oder getestet) akzeptieren sollten. anstaltungen, öffentlichen Einrichtungen etc.). Davon Sollten sie dies nicht tun, läge eine Diskriminierung auf- hat der deutsche Gesetzgeber Gebrauch gemacht und grund von Gesundheitsdaten und somit eine Verletzung ebenfalls zeitlich befristete Regelungen im Infektions- der Grundrechte vor. schutzgesetz getroffen, beispielsweise für den Zugang Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 33",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p33-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 34,
"content": "von Einrichtungen des Gesundheits- und Sozialwesens, das RKI melden. Daher hatte ich dem BMG in meiner des Nah- und Fernverkehrs oder im Hotel- und Gaststät- Stellungnahme empfohlen, sich am inzwischen bewähr- tenbereich. ten Verfahren zur Meldung der Intensivpatienten zu orientieren. Dies begnügt sich mit der reinen Anzahl In Deutschland werden die Zertifikate im Auftrag des und wenigen weiteren Angaben. Dennoch wurde das Robert Koch-Instituts (RKI) technisch generiert. Dabei umständliche Verfahren beibehalten und es verwun- werden keine Daten gespeichert. In der CovPassApp und dert daher nicht, dass immer wieder über Meldeverzug der Corona-Warn-App können die Zertifikate angezeigt berichtet wird. werden. Eine Kontrolle der Gültigkeit der Nachweise kann mit der CovPassCheck-App erfolgen. Die Entwick- 4.1.5 Die Bundesnotbremse und die lung dieser Anwendungen habe ich über alle Programm- Ausnahmeverordnung versionen hinweg datenschutzrechtlich begleitet und neben dem BMG auch das RKI als Verantwortlicher für Die Pandemiebekämpfung macht Gesundheitsdaten die Apps intensiv beraten. quasi zur Eintrittskarte. Dabei mildern digitale Lö- sungen die Risiken nur teilweise. Klare Maßgaben zur Querverweise: Vertraulichkeit wären erforderlich gewesen. Zulässig 4.1.1 Corona-Warn-App sind solche Nachweispflichten nur soweit und solange, wie sie zur Gefahrenabwehr erforderlich sind. 4.1.4 Coronamelde-Verordnung Im letzten Tätigkeitsbericht habe ich über die durch Die Coronamelde-Verordnung ist komplexer, als sie sein Corona bedingten Änderungen des Infektionsschutz- müsste. Ein Weniger an Daten hätte eine schnellere gesetzes durch das erste, zweite und dritte Pande- Verarbeitung ermöglicht. mie-Schutz-Gesetz berichtet (29. TB, 4.1.4). Im weiteren Am 29. Juni 2021 – mit Frist zur Stellungnahme bis zum Verlauf der Pandemie gab es neue Gesetzesänderungen 1. Juli 2021 – erreichte mich erstmals der Entwurf des und Verordnungen, bedauerlicherweise erneut mit un- Bundesgesundheitsministeriums (BMG) einer „Verord- nötig kurzen Fristen für Beratung und Prüfung. nung über die Erweiterung der Meldepflicht nach § 6 Bundesnotbremse Abs. 1 Satz 1 Nummer 1 des Infektionsschutzgesetzes (IfSG) auf Hospitalisierungen in Bezug auf die Coron- Von der sogenannten „Bundesnotbremse“ im Entwurf avirus-Krankheit-2019“. Hinter dem sperrigen Titel des „Vierten Gesetzes zum Schutz der Bevölkerung bei verbirgt sich eine zusätzliche Pflicht für Krankenhäu- einer epidemischen Lage von nationaler Tragweite“, ser und Gesundheitsämter. Ziel ist die Ermittlung der einem Gesetzentwurf der Koalitionsfraktionen (BT- Hospitalisierungsinzidenz als Orientierungswert für Drs. 19/28444), erfuhr ich erst am 13. April 2021 über Schutzmaßnahmen. Krankenhäuser müssen danach die die Tagesordnung des Ausschusses für Gesundheit. Im Aufnahme von Patienten namentlich an das Gesundheit- Vorfeld wurde ich nicht beteiligt. Die darin enthaltenen samt melden, auch wenn die Corona-Infektion dieser Schutzmaßnahmen selbst, wie Kontakteinschränkungen Person dort schon bekannt ist. In der Folge müssen die und Betriebsuntersagungen, sind dabei ohne Daten- Gesundheitsämter die Meldung prüfen, zuordnen und schutzrelevanz. Allerdings war in § 28c des Gesetzent- dann im üblichen Verfahren unter einer Kennnummer wurfs auch eine Verordnungsermächtigung enthalten, an die Landesbehörde melden, die die Meldung an das die Erleichterungen oder Ausnahmen für Immunisierte Robert Koch-Institut (RKI) weiterleitet. Ich hatte erheb- und negativ Getestete umfasste. Der damit verbundene liche Zweifel, ob die Voraussetzungen der Ermächti- Nachweis und dessen Kenntnisnahme stellen eine Ver- gungsgrundlage (§ 15 Abs. 1 IfSG) erfüllt sind. Demnach arbeitung von Gesundheitsdaten dar und sind nach Art. kann das BMG die Meldepflicht nach § 6 IfSG erweitern, 9 DSGVO nur unter besonderen Voraussetzungen und soweit die epidemische Lage dies erfordert. Warum mit besonderen Maßgaben zum Schutz der Betroffenen hier eine zusätzliche Mitteilung an das Gesundheitsamt zulässig. Dies wird im Entwurf und seiner Begründung nötig sein sollte, war aber nicht ersichtlich. Stattdessen jedoch nicht erwähnt. Das Gesetz wurde am 22. April ging es laut Begründung um die Anzahl der Kranken- 2021 veröffentlicht (BGBl. 2021 I, S. 802). hausaufnahmen – also um rein statistische Angaben. Ausnahme bei Nachweis Relevant sind diese Angaben wohl weniger für die Arbeit im Gesundheitsamt, sondern für die Bewertung der Aufgrund der Verordnungsermächtigung hat die Bun- pandemischen Lage durch das RKI. Aus Gründen der desregierung am 4. Mai 2021 den Entwurf einer „Ver- Datenminimierung wäre es angezeigt gewesen, dass die ordnung zur Regelung von Erleichterungen und Aus- Krankenhäuser die Aufnahme von Patienten statistisch nahmen von Schutzmaßnahmen zur Verhinderung der – also anonym, ohne persönliche Angaben – direkt an Verbreitung von COVID-19 (COVID-19-Schutzmaßnah 34 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p34-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 35,
"content": "men-Ausnahmenverordnung – SchAusnahmV)“ (BT-Drs. Ministerialverwaltung zur Prüfung und Stellungnahme 19/29257) vorgelegt, der mir wiederum erst durch die meist nur ein kurzes Zeitfenster, teilweise nur Stunden, Tagesordnung des Ausschusses für Gesundheit bekannt eingeräumt hat. Soweit ich innerhalb der kurzen Fristen wurde. Dass ich nicht vorher beteiligt wurde, verstößt datenschutzrechtliche Probleme erkennen konnte, habe gegen § 21 Abs. 1 der Gemeinsamen Geschäftsordnung ich diese geltend gemacht. Gleichwohl war und ist mir der Bundesministerien (GGO). Die am 8. Mai 2021 aus- bewusst, dass unter den gegebenen Umständen eine gefertigte Verordnung (BAnz AT 08. Mai 2021 V1) enthält umfassende Prüfung und Bewertung der Gesetzes- und Vorgaben, wie der Nachweis der Immunisierung oder Verordnungsentwürfe nicht möglich war. Umso mehr der negativen Testung beschaffen sein muss und welche werde ich die weitere gesetzgeberische Entwicklung Voraussetzungen erfüllt sein müssen. Dann nennt die sowie die spätere Umsetzung in die Praxis beobachten. Verordnung diejenigen Regelungen der „Bundesnot- Mögliche gesetzgeberische Defizite dürften sich nicht zu- bremse“ in § 28b IfSG, die für Personen nicht gelten, letzt auch in einer erhöhten Anzahl an Beschwerden und die diesen Nachweis erbringen können. Mit dieser Eingaben niederschlagen, aber auch in einer erhöhten Verordnung wurden persönliche Gesundheitsinformati- Gefahr des Scheiterns bei gerichtlicher Überprüfung. onen zur Zugangsvoraussetzung und Geschäftsinhaber, Bereits im Berichtszeitraum hat die Zahl der bei mir zum Hoteliers, Restaurantinhaber und Vereine zu – mehr Gesundheitsbereich eingegangenen Beschwerden und oder weniger gewissenhaften – Kontrolleuren. Auch Eingaben ein neues Rekordhoch erreicht. wenn datenschutzfreundlich mittels CovPassCheckApp kontrolliert wird, hat der Nachweis zur Folge, dass die Querverweise: Person, der gegenüber der Nachweis geführt wird, Name 4.1.3 Digitaler Impfnachweis und Geburtsdatum erfährt. Daher hätte ich hier eine flankierende Maßgabe zur Wahrung der Vertraulichkeit 4.1.6 Coronavirus-Testverordnung durch die Kontrollierenden erwartet. Auch für die Bürgerteststellen gilt: bei der Verarbeitung Nachweispflicht als Schutzmaßnahme von Gesundheitsdaten bedarf es besonderer Sicher- Mit dem Aufbauhilfegesetz 2021 vom 10. September heiten – wie beispielsweise der beruflichen Schweige- 2021 (BGBl 2021, S. 4147) – Art. 12 – wurde dann eine pflicht. Wenn also Nicht-Ärzte Aufgaben übernehmen Verpflichtung zur Vorlage eines Impf-, Genesenen- oder sollen, sind alternative Vorgaben nötig. Testnachweises zusätzlich als unmittelbare Schutzmaß- Die „Verordnung zum Anspruch auf Testung in Bezug auf nahme in den Katalog möglicher Maßnahmen in § 28a einen direkten Erregernachweis des Coronavirus SARS- IfSG aufgenommen. Wieder fehlte in der Begründung CoV-2 (Coronavirus-Testverordnung – TestV)“ wurde zum Gesetzentwurf ein Bezug darauf, dass es sich bei erstmals im Mai 2020 erlassen und danach – zeitweise den Nachweisen um Gesundheitsdaten handelt, die nach im Monatstakt – geändert. Ich wurde erstmals im Januar Art. 9 DSGVO einem besonderen Schutz unterliegen. Die 2021 in die Ressortabstimmung einbezogen. Die in der Nachweispflicht führt zu Situationen, die sowohl von Folge vorgelegten Entwürfe für Änderungsverordnun- nachweisenden als auch von den kontrollierenden Per- gen hatten unnötig extrem kurze Stellungnahmefristen, sonen als unangenehm wahrgenommen werden. Dieser meist bis zum gleichen oder bis zum nächsten Tag, im Eingriff in das Recht auf informationelle Selbstbestim- Einzelfall bis zur nächsten Woche. Bei der Prüfung war mung wurde trotz meiner Hinweise nicht durch Maßga- für mich entscheidend, wer die Daten der getesteten ben oder Erläuterungen flankiert. Dies blieb demnach Personen verarbeitet und welche Regeln für deren Spei- den Ländern überlassen. Es wurde nicht einmal ein Hin- cherung und Übermittlung gelten. weis darauf aufgenommen, dass eine Anordnung dieser Maßnahmen besonders geprüft werden müsste und Bei den frühen Fassungen gab es keinen Anlass zu diese Daten vertraulich zu behandeln seien. Nach Art. 9 Bedenken: Mit den Testungen waren zunächst neben Abs. 2 DSGVO ist die Verarbeitung von Gesundheitsdaten dem Gesundheitsamt nur Arztpraxen und später auch nur unter bestimmten Voraussetzungen ausnahmsweise Apotheken befasst, also Personen, die einer berufli- möglich. Dass die Pandemielage eine solche Ausnahme- chen Schweigepflicht unterliegen. Zudem sollte die situation darstellt, hätte transparenter gemacht werden Abrechnung gerade ohne Angaben zu den getesteten sollen. Ich wies das BMG daher darauf hin, dass die Maß- Personen auskommen. Zeitgleich mit Einführung der – nahmen zur Pandemiebekämpfung fortlaufend zu über- für die Getesteten kostenfreien – Bürgertestung wurde prüfen und gesetzliche Verpflichtungen zur Verarbeitung der Kreis auf „weitere geeignete Dritte“ erweitert: Das personenbezogener Daten so früh wie möglich wieder Gesundheitsamt kann auch „weitere Anbieter, die eine aufzuheben sind. In der Folge erreichten mich weitere ordnungsgemäße Durchführung, insbesondere nach Gesetzes- und Verordnungsentwürfe, bei denen mir die einer Schulung nach § 12 Abs. 4, garantieren“, beauftra Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 35",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p35-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 36,
"content": "gen. Da die Testanbieter neben Name und Adresse auch Querverweise: Gesundheitsdaten verarbeiten und eine positive Testung 4.1.8 Infektionsschutzgesetz zudem die Pflicht zur Meldung ans Gesundheitsamt auslöst, hatte ich erwartet, dass die Landesbehörden bei 4.1.7 Das „EpiLage-Fortgeltungsgesetz“ der Umsetzung der Verordnung den Teststellen Vorga- ben zu Datenschutz und Datensicherheit machen. Dies Pandemische Pflichten und Eingriffe ohne Pandemiela- war jedoch nicht durchgehend der Fall. Der „insbeson- ge? Die pandemiebedingten Regelungen wurden durch dere“-Zusatz erweckte offenbar den Eindruck, dass die das EpiLage-Fortgeltungsgesetz entfristet und vom Schulung das wesentliche Kriterium für eine zulässige Bestehen der epidemischen Lage abgekoppelt. Dies gilt Beauftragung ist. Jedenfalls entstanden in der Folge eine auch für die Übermittlung von Nachweisen aufgrund Vielzahl von Schnelltestzentren – in Zelten, Containern, der Anmeldepflicht nach der Einreiseverordnung. leerstehenden Veranstaltungsräumen oder Ladenloka- Am 2. Februar 2021 versandte das Bundesministerium len. Ob die Datenverarbeitung der jeweiligen Verant- für Gesundheit (BMG) den Entwurf einer Formulierungs- wortlichen im Einklang mit den Vorgaben der DSGVO hilfe für den „Entwurf eines Gesetzes zur Fortgeltung für Gesundheitsdaten stand, war zuweilen zweifelhaft; der die epidemische Lage von nationaler Tragweite be- es wurden verschiedene, auch größere Pannen bekannt. treffenden Regelungen – (EpiLage-Fortgeltungsgesetz)“ Erst mit der Änderungsverordnung vom 12. November mit der wiederholt extrem kurzen Frist zur Stellungnah- 2021 wurde auf meinen Hinweis hin die Vorgabe aufge- nommen, dass auch die weiteren Leistungserbringer zur me bis zum 3. Februar 2021 16.00 Uhr. Die Formulie- Verschwiegenheit verpflichtet sein müssen. rungshilfe beinhaltete den Erhalt der Regelungen, die aufgrund der Feststellung der epidemischen Lage von Unklarheiten bedingte auch die – unverändert gebliebe- nationaler Tragweite erlassen wurden und die überwie- ne – Pflicht, die Auftrags- und Leistungsdokumentation gend mit deren Aufhebung oder aber spätestens zum 31. aufzubewahren. Für Ärztinnen und Ärzte entspricht März 2021 außer Kraft treten würden, über das Ende der diese Vorgabe der üblichen Praxis. Was sie allerdings epidemischen Lage hinaus. Die epidemische Lage selbst für die „geeigneten Dritten“ bedeutet und ob darin eine sollte danach jeweils befristet gelten und eines Verlänge- hinreichende Grundlage für die Speicherung von perso- rungsbeschlusses bedürfen. nenbezogenen Gesundheitsdaten lag, war zweifelhaft. Es führte außerdem zu Unsicherheit bei den Anwen- Diese nun beabsichtigte zeitliche Begrenzung der dern und Diskussionen bei den Datenschutzbehörden. epidemischen Lage ermöglichte die verfassungsrecht- Unter dem Eindruck bekannt gewordenen vermuteten lich gebotene erneute Prüfung und Befassung mit den Abrechnungsbetrugs enthielt die TestV in der Fassung pandemiebedingten Regelungen durch den Deutschen vom Juni allerdings eine konkretisierende Aufzählung Bundestag, was auch aus meiner Sicht zu begrüßen ist. zur Dokumentation, um die Abrechnungsprüfung zu Für verschiedene Verordnungsermächtigungen sollte ermöglichen. Sogar das Testergebnis, ein besonders zu die bislang festgelegte zusätzliche Befristung dagegen schützendes Gesundheitsdatum, sollte danach bis Ende wegfallen, so dass sie automatisch ebenso lange wie die 2024 aufbewahrt werden. Der Sinn erschließt sich nicht: Feststellung der epidemischen Lage gelten würden. Dies Die Vergütung gibt es unabhängig vom Testergebnis und betraf auch die Coronavirus-Einreiseverordnung. Nach die Prüfung der zuverlässigen Meldung positiver Tests ist der mehrfach geänderten Verordnung gab es zu dieser nur zeitnah zielführend. Eine Aufbewahrung wäre daher Zeit eine Anmeldepflicht für Einreisende unabhängig allenfalls für einige Monate erforderlich. Auf meine vom genutzten Verkehrsmittel. Verschiedene Angaben entsprechenden Hinweise wurde in der Fassung vom zur Person und zum Aufenthaltsort waren dem Gesund- Oktober wenigstens eigens für die Testergebnisse eine heitsamt zu übermitteln. Allerdings ist es denkbar, dass verkürzte Frist bis Ende 2022 vorgesehen. diese Pflicht in bestimmten Konstellationen keinen substanziellen Beitrag zur Pandemiebekämpfung mehr Nach Wegfall der Bürgertestung mussten berechtigte leisten kann, auch wenn die Feststellung der epide- Personen ihren Anspruch auf eine kostenfreie Testung mischen Lage weiter besteht oder verlängert wird. geltend machen und ein medizinisches Impfhindernis Ich machte daher geltend, dass nur die Befristung der oder eine Schwangerschaft nachweisen. Hier stellte Verordnung unabhängig von der epidemischen Lage ich gegenüber dem BMG klar: Auch Schwangere haben eine regelmäßige Überprüfung gewährleistet, ob die Anspruch auf ein Attest, das nur die nötigen Angaben Datenübermittlungspflichten erforderlich sind und den enthält; sie müssen nicht den Mutterpass mit einer Datenschutzvorgaben entsprechen. Vielzahl von Befunden verwenden. Und ein Attest über eine medizinische Kontraindikation darf keine Diagnose Eine überarbeitete Fassung der Formulierungshilfe wur- enthalten, da diese hier nicht erheblich ist. de am Samstag, den 6. Februar 2021 am frühen Nachmit 36 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p36-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 37,
"content": "tag, übersandt mit Frist zur Stellungnahme bis Sonntag, der Neuregelung die stärkere Eingriffstiefe rechtfertigen den 7. Februar 2021. Sollte dann keine Rückmeldung vor- konnte. In der Fassung vom Juli wurde die Verordnung liegen, gehe das BMG von einer Zustimmung aus, hieß dann unabhängig vom Bestehen der Pandemielage bis es bemerkenswerterweise weiter. Ein solches Verfahren zum Ende des Jahres 2021 befristet. mit kürzesten Fristen unter Einbeziehung des Wochen- Bei der folgenden Neufassung im September, bei der endes entbehrt jeglicher Grundlage und macht mir meine Beteiligung bedauerlicherweise wieder versäumt meine Aufgabe zur Beratung von Bundesregierung und wurde, blieb die Frist unverändert. Dennoch ist fortlau- Bundestag unnötig schwer. Eine solche Vorgehensweise fend zu überprüfen, ob die mit der Anmeldepflicht ver- lässt sich auch mit den Regelungen der Gemeinsamen bundene Datenübermittlung zur Pandemiebekämpfung Geschäftsordnung der Bundesministerien (GGO) nicht geeignet und erforderlich ist. in Einklang bringen. Dieses Verfahren war auch der verfassungsrechtlichen Bedeutung der vorgesehenen 4.1.8 Zweites IfSG-Änderungsgesetz: digitale Regelungen nicht angemessen, ermöglichen einige doch Nacherfassung der Impfungen und 3G am Arbeitsplatz umfangreiche Eingriffe in grundrechtlich geschützte Rechtspositionen der Bürgerinnen und Bürger. Die Nacherfassung und 3G am Arbeitsplatz als eine der datenschutzrechtlichen Herausforderungen der Pande- Ich wandte mich daher an den Gesundheitsausschuss miebekämpfung – Deutschland digitalisiert die Impfbe- und machte auch hier meine Bedenken an der auto- scheinigung mit Risiken für die Vertrauenswürdigkeit matischen Verlängerung und die Erforderlichkeit der und weist Arbeitgebern eine wesentliche Rolle bei der laufenden Überprüfung auf Erforderlichkeit geltend. Pandemiebekämpfung zu. Zu meinem Bedauern wurden meine Hinweise nicht berücksichtigt. Mit dem vierten Pandemie-Schutzgesetz Unmittelbar folgend auf das Vierte Bevölke- wurde im Juli 2021 stattdessen eine weitere Änderung rungs-Schutz-Gesetz vom 22. April 2021 wurde bereits vorgesehen: die Verordnung gilt demnach sogar bis die nächste Änderung des Infektionsschutzgesetzes längstens ein Jahr über die Dauer der epidemischen angegangen. Am Freitagnachmittag, den 23. April 2021, Lage hinaus. Grundsätzlich impliziert das Auslaufen der wurde der Entwurf eines „Gesetzes zur Änderung des In- epidemischen Lage, dass die pandemiebegingt einge- fektionsschutzgesetzes und anderer Gesetze“ mit erneut führten Regelungen entbehrlich werden. Inwiefern die extrem kurzer Frist zur Stellungnahme bis Montag, 26. Pflichten und Eingriffe auch nach Wegfall der epidemi- April 2021, vorgelegt. Mit der Änderung sollten Nachtra- schen Lage noch erforderlich sein sollten, bedarf daher gungen im Impfausweis und die Ausstellung digitaler erst recht fortlaufend der sorgfältigen Überprüfung. Impfnachweise auch durch Apothekerinnen und Apothe- ker möglich sein. Dies sollte offenbar dazu dienen, den Corona-Einreiseverordnung geimpften Personen möglichst schnell zu dem von der Die Corona-Einreiseverordnung wurde am 12. Mai 2021 EU konzipierten Digitalen Zertifikat zu verhelfen, ohne neugefasst und galt für die Dauer der Feststellung der die Impfzentren und Hausarztpraxen übermäßig zu epidemischen Lage. Vor Erlass dieser Neufassung wurde belasten. Denn die Impfkampagne war bereits in vollem ich leider überhaupt nicht beteiligt und erlangte erst im Gange: Durch Impfteams und Impfzentren hatten die Nachhinein Kenntnis. In der Folgezeit wurden Rege- Angehörige von Risikogruppen ihre Impfung bereits er- lungen bereits in der Presse thematisiert, obwohl die halten, bevor die technischen Vorgaben und die nötigen Ressortabstimmung nicht abgeschlossen war. Anschlüsse und Übermittlungswege für die Generierung des digitalen Impfnachweises zur Verfügung standen. Nach den Regelungen in der Neufassung mussten ein- reisende Personen zusätzlich die Nachweise als geimpft, Dieses Ziel ist nachvollziehbar. Die Regelung geht jedoch genesen oder getestet über das Portal für die digitale weit darüber hinaus: Sie ist allgemein gefasst und damit Einreiseanmeldung an das zuständige Gesundheitsamt nicht auf die Corona-Impfungen beschränkt. Die Nach- übermitteln. Dabei wird die Tatsache des Vorliegens des tragung oder Bestätigung durch eine Person, die die Nachweises („ob“) bereits bei der Anmeldung angege- Impfung nicht selbst vorgenommen hat, birgt dabei im- ben. Zuvor war die Vorlage daher nur auf Anforderung mer ein Risiko hinsichtlich der inhaltlichen Richtigkeit. der Behörde vorgesehen. Dem Infektionsschutz kann jedoch nur ein Impfnach- Leider erschöpft sich die Begründung für die Änderung weis dienen, der eine tatsächlich durchgeführte Imp- hier entgegen §§ 62, 43 GGO in der Beschreibung der fung bescheinigt. Es waren zu diesem Zeitpunkt bereits Regelung und erläutert nicht, warum eine stichproben- Fälschungen von Impfnachweisen in erheblichem hafte Kontrolle nicht mehr ausreichen soll. Zu dieser Umfang im Umlauf. Durch die Nacherfassung durch Ausweitung der vorsorglichen Datenübermittlungen bei Apotheken unter der eigenen elektronischen Signatur der Einreise war daher nicht ersichtlich, dass der Nutzen übernimmt die jeweils nacherfassende Person die Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 37",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p37-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 38,
"content": "Verantwortung auch für die inhaltliche Richtigkeit. Das datenschutzkonforme Anwendung der gesetzlichen Vor- Risiko, in erheblichem Umfang hierdurch inhaltlich gaben für unabdingbar: Arbeitgeberinnen und Arbeit- falsche digitale Impfnachweise zu generieren, hielt ich geber haben sorgfältig zu prüfen, welche der sensiblen für beachtlich und ein Interesse an falschen Nachweisen Gesundheitsdaten ihrer Beschäftigten sie unter welchen aufgrund der damit verbundenen Vorteile für hoch. Bedingungen für den jeweiligen Zweck unbedingt erhe- ben, speichern oder anderweitig verarbeiten müssen. Diesem signifikanten Risiko wurde durch den Gesetz- Dabei sind die Grundsätze der Datenminimierung entwurf in keiner Weise begegnet. Erst mit dem „Gesetz (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung zur Änderung des Infektionsschutzgesetzes und weiterer (Art. 5 Abs. 1 und 17 lit. e DSGVO) sowie die besonderen Gesetze anlässlich der Aufhebung der Feststellung der Vorgaben für die Verarbeitung sensibler Gesundheits- epidemischen Lage von nationaler Tragweite“ vom daten nach dem Bundesdatenschutzgesetz und der 22. November 2021 (BGBl 2021, S. 4906) wurden flankie- Datenschutzgrundverordnung zu berücksichtigen. Wird rend die Straftatbestände im Strafgesetzbuch angepasst, beispielsweise der genaue 3G-Status der Beschäftigten um gegen bekannt gewordene Fälschungen vorgehen zu mittels Sichtkontrolle oder CovPassCheck-App vor Zutritt können. Es wurde leider nicht geprüft, ob eine ander- zum Gebäude erhoben, so ist es für die Zutrittskontrolle weitige Unterstützung von Impfzentren und Arztpraxen möglich wäre, die – entsprechend meiner Empfehlung regelmäßig nicht erforderlich, den 3G-Status perso- – eine zuverlässige, inhaltlich richtige Nacherfassung nengenau längerfristig zu speichern. Für die Erfüllung durch die impfende Institution selbst gewährleisten der Dokumentationspflicht genügt es, nachprüfbare würde. Ebenso wurde entgegen meiner Empfehlung die Prozesse zu etablieren, auf welche Weise der 3G-Status Nacherfassung allgemein zugelassen; es wurde darauf der Beschäftigten durch die Arbeitgeber geprüft wird. verzichtet, sie auf besondere Fälle – wie die Impfungen Für die Anpassung betrieblicher Hygienekonzepte vor der Möglichkeit zur digitalen Erfassung oder beson- sind personenbezogene 3G-Daten der Beschäftigten dere Ausnahmen oder auch nur auf Corona-Impfungen im Regelfall nicht erforderlich. Zu prüfen ist, ob die – zu begrenzen oder zu befristen. Hier soll eine risikoge- Verarbeitungszwecke auch mit anonymisierten, pseud- neigte Datenverarbeitung zur Methode werden. Bei der onymisierten und aggregierten Daten erreicht werden zu erwartenden Evaluation des Infektionsschutzgesetzes können. Wichtig ist zudem, dass die Erhebung durch sollte dieser Passus auf der Agenda stehen. Personen erfolgt, die gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet sind, beispielsweise nicht 3G am Arbeitsplatz durch unmittelbare Vorgesetzte, und dass die 3G-Daten In demselben Gesetzgebungsverfahren vom 22. Novem- durch technisch-organisatorische Maßnahmen vor der ber 2021 (BGBl 2021, S. 4906) wurden erstmals Regelun- unbefugten Kenntnisnahme durch Dritte geschützt sind. gen zur Verarbeitung sog. 3G-Daten („geimpft, genesen, Dazu gehören auch Kolleginnen und Kollegen. Sobald getestet“) am Arbeitsplatz aufgenommen. Schon lange der Zweck für die Speicherung der Gesundheitsdaten vorher habe ich den zuständigen Bundesministerien entfallen ist, müssen sie gelöscht werden. Die maxi- geraten, datenschutzgerechte Rechtsgrundlagen zu mal zulässige Speicherdauer von sechs Monaten nach schaffen, die die Verarbeitung von 3G-Daten am Arbeits- Erhebung, die § 28b Abs. 3 Satz 9 IfSG vorsieht, kann also platz ermöglichen. auch wesentlich kürzer ausfallen. Die gesetzliche Regelung sieht nun allerdings eine Querverweise: Pflicht zur Prüfung des 3G-Status vor Zutritt zur Arbeits- 4.1.3 Digitales COVID Zertifikat stätte vor. Arbeitgeberinnen und Arbeitgeber dürfen die sensiblen 3G-Daten aus den Impf-, Genesenen- oder 4.1.9 Digitales Impfquotenmonitoring Testnachweisen ihrer Beschäftigten verarbeiten, soweit dies für den Zweck der Zugangskontrolle zur Arbeitsstät- Von der Schwierigkeit, in der Pandemie mit digitalen te und für die Dokumentation, dass die gesetzlichen Zu- Mitteln die Übersicht über die Impfungen zu behalten trittsvoraussetzungen eingehalten wurden, erforderlich oder: (Zu) viele Wege führen zum Robert Koch-Institut. ist. Außerdem dürfen die Daten für die Anpassung von Die mit dem Masernschutz eingeführte und pandemie- Hygienekonzepten auf Grundlage der Gefährdungsbeur- bedingt ausgeweitete Meldepflicht erfüllt ihren Zweck teilung verarbeitet werden. nicht vollständig und sollte zusammen mit dem Melde- verfahren grundlegend überarbeitet werden. Die Fristen zur Stellungnahme waren auch in diesem Gesetzgebungsverfahren wieder sehr kurz bemessen. Mit dem Dritten Bevölkerungs-Schutz-Gesetz (Drittes Ich hätte mir für eine Beratung eine deutlich frühere Be- Gesetz zum Schutz der Bevölkerung bei einer epidemi- teiligung gewünscht, die nach meinen frühen Hinweisen schen Lage von nationaler Tragweite vom 18. November unproblematisch möglich gewesen wäre. Ich halte eine 2020, 29. TB Nr. 4.1.4) wurde in § 13 Abs. 5 Infektions 38 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p38-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 39,
"content": "schutzgesetz (IfSG) eine Pflicht der Kassenärztlichen RKI, sondern für die Impfzentren tätig wird, so dass eine Vereinigungen und der Impfzentren zur Meldung von zuverlässige Trennung der Aufgabenwahrnehmung zu Daten zu Impfung und Impffolgen vorgesehen, die gewährleisten war. sowohl an das Robert Koch-Institut (RKI) als auch das Paul-Ehrlich-Institut (PEI) zu übermitteln wären. Ich empfehle, die Wege und den Datenkranz bei der Die von mir als nicht erforderlich und nicht datenspar- Meldung von Impfungen – Impfquotenmonitoring – zu sam kritisierte Doppelung gab es dann in der Praxis tat- überprüfen. sächlich nicht: die Daten werden dem RKI übermittelt, das diese aggregiert an das PEI leitet. Eine Korrektur der Querverweise: entsprechenden gesetzlichen Regelung erfolgte nicht, obwohl ich das in meiner Stellungnahme zum EpiLa- 4.1.7 Das „EpiLage-Fortgeltungsgesetz“ ge-Fortsetzungsgesetz (siehe Nr. 4.1.7) angemahnt hatte. Übrigens: schon im Zusammenhang mit dem Masern- schutzgesetz (vgl. 28. TB Nr. 5.6) hatte mir das Bundes- 4.2 Künstliche Intelligenz – ministerium für Gesundheit (BMG) eigentlich zugesagt, Regulierung als gesamtgesell Datenkranz und Übermittlungsverfahren zu überprüfen. Stattdessen wird das Konzept auf Basis der bedenklichen schaftliche Aufgabe Regelung weiter ausgebaut. Künstliche Intelligenz (KI) ist eine Schlüsseltechnologie Im März wurde durch eine Änderung der Verordnung der Digitalisierung. Algorithmenbasierte Entschei- zum Anspruch auf Schutzimpfung gegen das Corona- dungsprozesse und lernende Systeme dringen in alle virus SARS-CoV-2 (Impfverordnung) der Kreis der zum Lebensbereiche vor und versprechen Lösungsansät- Impfen Berechtigten und zur Meldung Verpflichteten ze, an die ohne KI kaum zu denken wäre. Es ist eine auf Arztpraxen und Betriebsärzte erweitert. Der Ent- wesentliche gesellschaftliche und politische Aufgabe, wurf der Änderungsverordnung wurde mir am 22. März diese Technologie so zu gestalten, dass sie den Men- mit Frist zur Stellungnahme zum 25. März zugeleitet. schen und seine Rechte in den Mittelpunkt stellt und Die kurze Frist erschwerte auch hier die sachgemäße dabei gleichzeitig innovative Entwicklungen und einen Prüfung, ebenso wie unzureichende Erläuterungen in breiten Einsatz in vielen Bereichen ermöglicht. der Begründung. Dies wäre wegen der verschiedenen Der Innovationswert, der sich aus Anwendungen der KI Meldewege erforderlich gewesen: Die Meldungen laufen ergibt, ist unbestreitbar. Ihre immer stärkere Verbrei- teils aggregiert direkt an das RKI, teils personenbezogen tung bringt jedoch nicht nur Vorteile mit sich. Sie kann an die Kassenärztliche Vereinigung, teils unter Nutzung auch zu grundlegenden und tiefgreifenden Verletzun- des elektronischen Meldesystems der Kassenärztlichen gen von Grundrechten führen. Beispielsweise helfen Bundesvereinigung, teils unter Verwendung des Deut- KI-basierte medizinische Verfahren dabei, dass Kreb- schen Elektronischen Melde- und Informationssystems serkrankungen früher erkannt werden können. Sprach- gem. § 14 IfSG (DEMIS), das das RKI zur Verfügung stellt. oder Gesichtserkennungssoftware, die Personen auf der Hier stellte sich die Frage, ob insgesamt eine aggregier- Grundlage ihrer biometrischen Merkmale identifiziert, te, anonyme und unmittelbare Übermittlung ausgereicht kann zur Kriminalitätsbekämpfung und Aufklärung von hätte. Tatsächlich entstanden später trotz – oder wegen Straftaten zum Einsatz kommen. Sie kann aber genauso – der umfassenden Regelung bekanntlich erhebliche repressiv zur Überwachung und Kontrolle der Bürgerin- Unsicherheiten über die tatsächliche Impfquote. nen und Bürger eingesetzt werden. Schon im Jahr 2020 hatte ich damit begonnen, das RKI Gleichzeitig verändert KI die Interaktion von Mensch zur technischen Umsetzung des Meldeverfahrens, das und Technik in der Arbeitswelt. So können Assistenz- in Zusammenarbeit mit der Bundesdruckerei realisiert systeme Beschäftigte beispielsweise von anstrengenden werden sollte, zu beraten. Die Angaben zur Impfung oder gefährlichen Tätigkeiten entlasten und bei komple- werden in den Impfzentren über eine Web-Applikati- xen Prozessen und Entscheidungen unterstützen. Trotz on der Bundesdruckerei erfasst; alternativ kann über dieser Chancen darf KI nicht um jeden Preis Eingang eine von der Bundesdruckerei zur Verfügung gestellte in die Arbeitswelt finden. Denn ihre Anwendung in der Schnittstelle eine Einbindung in die in den jeweiligen Arbeitswelt, zum Beispiel in Bewerbungsverfahren, ist Impfzentren genutzte Software zur Erfassung genutzt mit einem besonders hohen Risiko für die Persönlich- werden. Prüfbedürftig war hierbei das angewandte Pseu- keitsrechte von Bewerbern und Beschäftigten verbun- donymisierungsverfahren, bei dem die Bundesdruckerei den. Spezifische gesetzliche Regelungen für den Einsatz – bei Verwendung der o. g. Schnittstelle – nicht für das von KI in diesem Bereich sind notwendig, fehlen jedoch Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 39",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p39-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 40,
"content": "bislang. Im Beirat Beschäftigtendatenschutz (vgl. Nr. 4.3) hnologie durch Polizei- und Strafverfolgungsbehörden habe ich mich daher dafür eingesetzt, den Einsatz von veröffentlichen. Auch hier bringe ich mich als einer der KI im Beschäftigtenkontext in Deutschland gesetzlich zu Berichterstatter aktiv ein. regeln. Darüber hinaus bin ich in der sogenannten „Working KI kann häufig leicht in bestehende Systeme und Group Artificial Intelligence“ der Global Privacy As- Anwendungen integriert werden. Solche Systeme und sembly (GPA) engagiert. Dabei handelt es sich um eine Anwendungen enthalten vielfach bereits biometrisch Unterarbeitsgruppe der internationalen Datenschutzkon- auswertbare Informationen wie etwa Fotos, Videos ferenz, die regelmäßig datenschutzpolitische bzw. daten- oder Stimmaufzeichnungen. Sie können mit geringem schutzrechtliche KI-Themen diskutiert und dazu Ent- Aufwand durch KI so ergänzt werden, dass biometrische schließungen und Empfehlungen erarbeitet. Bereits im Auswertungen möglich werden. Der Einsatz von KI vergangenen Jahr wurde eine Resolution zum Umgang besonders zur biometrischen Datenanalyse muss daher mit der Nutzung von KI verabschiedet, die die grundsätz- sehr sorgfältig auf seine individuellen, aber auch ge- lichen Anforderungen für die Entwicklung und Nutzung samtgesellschaftlichen Auswirkungen überprüft werden. von KI darlegt, die erforderlich sind, um den gebotenen Gerade in Bezug auf den Einsatz von KI ist es wichtig, Rechenschaftspflichten nachzukommen. Aktuell arbeite die Bedeutung des Datenschutzes für die Achtung von ich innerhalb dieses Gremiums u. a. intensiv an einem Versammlungsfreiheit, Meinungs- und Meinungsäuße- Papier mit, das sich mit den Risiken für die Rechte und rungsfreiheit und Vereinigungsfreiheit anzuerkennen. Freiheiten des Individuums durch KI-Systeme beschäf- Es ergibt sich an vielen Stellen also durchaus ein tigt. Ziel ist es hierbei, den Blick für die individuellen, Spannungsverhältnis. Der Datenschutz kann hier einen aber auch gesellschaftlichen Risiken für Datenschutz und wichtigen Beitrag für einen Interessenausgleich leis- Ethik im Zusammenhang mit KI zu schärfen. ten: durch Aspekte wie Risikoabwägung, Transparenz, Eine weitere Zusammenarbeit im KI-Bereich wurde Überprüfbarkeit und Intervenierbarkeit trägt er dazu während des G7- Regulatory Cooperation Roundtable bei, dass sich der Fortschritt so gestalten lässt, dass KI beschlossen. Dabei sind die Datenschutzaufsichtsbehör- gleichzeitig effizient, innovativ, datenschutzkonform und den der G7-Mitgliedsstaaten im September 2021 unter am Gemeinwohl orientiert ist. Datenschutz ist damit ein dem Vorsitz der britischen Datenschutzbeauftragten maßgebliches Erfolgskriterium für KI-Anwendungen. Elizabeth Denham erstmalig zusammengekommen (vgl. KI lässt sich kaum mehr in nationalstaatlichen Grenzen Nr. 3.4.1). In einem gemeinsamen Kommuniqué wurde denken. Eine so globalisierte Technologie erfordert auch die zentrale Bedeutung der Menschenwürde bei der eine verstärkte internationale Zusammenarbeit. Um hier Gestaltung von KI hervorgehoben. Es bestand Einigkeit einen entsprechenden Rahmen zu schaffen und den darüber, dass die wesentlichen Grundsätze der Zweck- Gestaltungsprozess im Sinne einer positiven Technikent- bindung und der Datenminimierung gelten müssen und wicklung zu beeinflussen, bei der die Rechte und Inter- KI transparent, verständlich und erklärbar sein muss. essen des Individuums geschützt werden, engagiere ich Auf dieser Grundlage wurde vereinbart, auch künftig in mich aktiv in nationalen und internationalen Gremien, einer eigenen Arbeitsgruppe zum Thema KI die Entwick- die sich mit der KI-Entwicklung befassen. lung interoperabler Konzepte für die Regulierung über KI auf internationaler Ebene alle Rechtsordnungen hinweg und vor dem Hintergrund eines menschenzentrierten Ansatzes zu fördern. Die Europäische Kommission hat im vergangenen Jahr den weltweit ersten Entwurf für einen Rechtsrahmen Ohne automatisierte, intelligente Analyse- und Ent- zur KI vorgelegt. Der umfassende Regulierungsentwurf scheidungssysteme kann die in einer digitalisierten soll die Entwicklung von KI fördern, ein hohes Schutz- Welt anfallende Menge an Daten kaum effizient genutzt niveau für öffentliche Interessen gewährleisten und werden. Es ist unsere Aufgabe, gemeinsam mit Politik, eine Vertrauensbasis für KI-Systeme schaffen. In einer Gesellschaft, Wissenschaft und Wirtschaft diese Nutzung Stellungnahme zum Regulierungsentwurf hat sich der von auf KI basierenden Systemen auf tragfähige Beine Europäische Datenschutzausschuss (EDSA) dafür ausge- zu stellen. Damit soll ein Gerüst geschaffen werden, das sprochen, dass der Einsatz von KI verboten wird, wenn einen mit demokratischen Grundsätzen zu vereinba- Persönlichkeit und Würde des Menschen nicht geachtet renden, rechtskonformen und gemeinwohlorientierten werden. Als Teil des Berichterstatter-Teams des EDSA Einsatz von KI ermöglicht. habe ich mich hier nachdrücklich für die herausragende Querverweise: Bedeutung des Datenschutzes bei der Gestaltung von KI eingesetzt (vgl. Nr. 4.2.1). Der EDSA wird im Jahr 2022 3.4.1 G7, 4.2.1 KI-Regulierungsentwurf, 4.3 Interdiszipli- Richtlinien für den Einsatz von Gesichtserkennungstec närer Beirat Beschäftigtendatenschutz 40 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p40-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 41,
"content": "4.2.1 KI-Regulierungsentwurf Schutz der grundlegenden Menschenrechte wirksam ergänzt und gleichzeitig KI-Innovationen fördert. In seiner Stellungnahme zum Regulierungsentwurf der Europäischen Kommission unterstreicht der EDSA die Im vorgelegten Entwurf kommt der Aspekt KI im Ge- herausragende Bedeutung des Datenschutzes bei der sundheitswesen nur am Rande vor. Lediglich die Risiken Nutzung von KI. der Nutzung von KI für die Gesundheit werden häufig betont. Positive Wirkungen und Chancen der Nutzung Ich habe mich im EDSA und ganz besonders auch als Teil von KI im Gesundheitsbereich sollen in einem eigenen des Berichterstatter-Teams aktiv dafür stark gemacht, Rechtsakt zum europäischen Raum für Gesundheits- dass der Einsatz von KI verboten wird, wenn sie die Per- daten geregelt werden (vgl. Erwägungsgrund 45). Die sönlichkeit und Würde des Menschen nicht achtet oder Vorlage eines Entwurfs eines Rechtsaktes zum Euro- hohe Risiken für Leben und Gesundheit von Personen päischen Gesundheitsdatenraum war zunächst für den bestehen. Zudem habe ich mit Nachdruck die Forderung Herbst 2021 geplant, wurde dann aber auf das Frühjahr nach einem allgemeinen Verbot der Verwendung von KI 2022 verschoben. zur automatischen Erkennung von personenbezogenen Merkmalen in öffentlich zugänglichen Räumen unter- Es stellen sich grundlegende Fragen, die nur in einem stützt. Die Nutzung von KI darf nicht an den Grundfesten breiten gesellschaftlichen Dialog sinnvoll zu beantwor- unseres gesellschaftlichen Miteinanders rühren. ten sind. Außerdem muss das Zusammenspiel zwischen Mit dem Entwurf für einen Rechtsrahmen zur KI ver- der neuen KI-Verordnung und bestehendem Recht, folgt die Kommission einen risikobasierten Ansatz, der insbesondere der Datenschutz-Grundverordnung, sowie grundsätzlich auch vom EDSA in seiner Stellungnahme Fragen der Ausgestaltung von Aufsicht und Rechtsdurch- begrüßt wird. Für Anwendungen, die mit einem hohen setzung geklärt werden. Dafür werde ich mich auch Risiko einhergehen, werden bestimmte Qualitätsanfor- weiterhin einsetzen. derungen vorgesehen, z. B. Protokollierungs- und Doku- Querverweise: mentationsvorgaben, eine weitreichende Information der Nutzer, eine hohe Qualität der Datensätze oder auch 3.4.1 G7, 4.3 Interdisziplinärer Beirat Beschäftigten eine menschliche Aufsicht zur Minimierung der Risiken. datenschutz Der EDSA begrüßt diese Vorgaben, sieht in den Vorschlä- 4.2.2 KI-Konsultationsverfahren gen aber noch Veränderungsbedarf, den er im Rahmen der Stellungnahme deutlich macht. Der Einsatz von Künstlicher Intelligenz (KI) muss sich immer am Maßstab des Verfassungsrechts messen las- Besorgnis besteht etwa darüber, dass die internationale sen. Das Konsultationsverfahren zum Einsatz von KI im Zusammenarbeit auf dem Gebiet der Strafverfolgung Bereich der Strafverfolgung und Gefahrenabwehr soll nicht in den Anwendungsbereich des Vorschlags fällt. die Öffentlichkeit in die Meinungsbildung einbeziehen. Hinterfragt wird unter anderem auch die Tatsache, dass der Europäischen Kommission im Europäischen Im Bereich der Strafverfolgung und der Gefahrenabwehr Ausschuss für künstliche Intelligenz eine übergeordnete wird der Einsatz von KI erforscht, erprobt und teilweise Stellung eingeräumt werden soll. Aus unserer Sicht wird praktiziert. Die datenschutzrechtlichen und verfas- vielmehr eine europäische Stelle benötigt, die unabhän- sungsrechtlichen Vorgaben sind noch nicht geklärt. Sie gig von politischer Einflussnahme ist. Um die Unabhän- müssen deshalb konkretisiert werden. Der Einsatz von gigkeit des Ausschusses zu gewährleisten, sollte diesem KI kann sich auf die Arbeit der Sicherheitsbehörden und mehr Selbstständigkeit zuerkannt und es ihm ermöglicht die Freiheiten für die betroffenen Personen erheblich werden, von sich aus initiativ zu werden. 14 auswirken. Deshalb ist eine breite öffentliche Debatte notwendig. Ich habe daher ein Konsultationsverfahren Dass die Europäische Kommission die grundsätzliche zum Einsatz von KI im Bereich der Strafverfolgung und Beschäftigung mit einem Regulierungsrahmen auf Gefahrenabwehr eingeleitet. Folgende Thesen habe ich diesem Weg angestoßen hat, ist ein wichtiger Schritt. Es zur Diskussion gestellt: wird aber noch viel Arbeit notwendig sein, bis der Vor- schlag einen gut funktionierenden Rechtsrahmen her- →→ KI erfordert eine ausführliche empirische Bestands- vorbringt, der die geltenden Regeln zum Datenschutz, aufnahme und eine umfassende gesellschaftspoliti- wie etwa die Datenschutz-Grundverordnung, beim sche Diskussion, um einerseits die Auswirkungen 14\t\u0007Die Stellungnahme ist abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opini- on-52021-proposal_de. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 41",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p41-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 42,
"content": "dieser Technologie auf die Freiheiten der Bürgerin- Digitalisierung in Betrieben und Verwaltungen führt zu nen und Bürger zu klären und andererseits die Erfor- tiefgreifenden Veränderungen der Arbeitswelt. Datenge- derlichkeit ihres Einsatzes zu Strafverfolgungs- und triebene Prozesse prägen mittlerweile den Arbeitsalltag Gefahrenabwehrzwecken festzustellen. Die Risiken vieler Beschäftigter. In Betrieben und Verwaltungen sind dem Nutzen umfassend gegenüberzustellen. entstehen immer mehr und immer detailliertere Daten- Mögliche Diskriminierungen und überindividuelle sätze. Verbunden mit den neuen Möglichkeiten der Da- Folgen sowohl für bestimmte Personengruppen als tenverknüpfung und –auswertung bietet dies einerseits auch für demokratische und rechtsstaatliche Abläufe Chancen für eine effizientere Gestaltung der Arbeits- insgesamt sind wirksam auszuschließen. Der Ge- organisation. Andererseits erhöht sich für Beschäftigte setzgeber soll alle derzeit existierenden Befugnisse zugleich das Risiko, ihre Privatsphäre bis hin zu einer der Strafverfolgungs- und Gefahrenabwehrbehörden totalen Überwachung einzubüßen. in eine Gesamtrechnung einbeziehen („Überwa- Der vom Bundesministerium für Arbeit und Soziales chungs-Gesamtrechnung“). im Sommer 2020 eingesetzte interdisziplinäre Beirat →→ Der Einsatz von KI kann nicht auf polizeiliche Ge- Beschäftigtendatenschutz (siehe 29. TB, Nr. 7.2), dem neralklauseln gestützt werden. Vielmehr erfordert auch ich angehöre, prüft u. a., inwieweit Regelungen für der Einsatz von KI grundsätzlich eine spezifische den Schutz der Rechte von Beschäftigten in der digitalen gesetzliche Regelung. Arbeitswelt notwendig sind. Die Kurzfassung des Bei- ratsberichts wurde dem Bundesminister für Arbeit und →→ Die Einhaltung der allgemeinen Datenschutzgrund- sätze ist eine unabdingbare Voraussetzung für den Soziales im Januar 2022 übergeben. datenschutzrechtlich zulässigen Einsatz von KI. Im Rahmen meiner Beiratstätigkeit habe ich mich dafür Der Einsatz von KI darf die effektive Ausübung der eingesetzt, dass beschäftigtendatenschutzrechtliche Re- Betroffenenrechte nicht schmälern. gelungen geschaffen werden. In vielen Konstellationen →→ KI muss erklärbar sein. Die Qualität der schon zu genügt die gegenwärtige Fassung des § 26 BDSG auf- Trainingszwecken eingesetzten Datensätze ist sicher- grund ihrer Interpretationsbedürftigkeit nicht, um einen zustellen. effektiven, rechtssicheren Schutz vor eingriffsintensiven Datenverarbeitungen in der digitalisierten Arbeitswelt →→ Der Kernbereich privater Lebensgestaltung bzw. die zu gewährleisten. Der Einsatz künstlicher Intelligenz in Menschenwürdegarantie dürfen beim Einsatz von KI Bewerbungsverfahren, das Beschäftigtenscreening oder nicht berührt werden. GPS-Tracking sind nur einige beispielhafte Aspekte für →→ KI muss durch Datenschutzaufsichtsbehörden um- die Herausforderungen bei der Digitalisierung der Ar- fassend kontrolliert werden können. beitswelt. Sie machen die Regelungslücken sichtbar und einen besseren Schutz der Beschäftigten wichtiger denn →→ Dem Einsatz von KI muss eine umfassende Daten- je. Rechtssicherheit für alle Beteiligten ist erforderlich. schutzfolgen-Abschätzung vorangehen. Daher braucht es ein Beschäftigtendatenschutzgesetz, Nach Auswertung der eingegangenen Stellungnahmen das spezifische Datenverarbeitungen im Beschäftigten- werde ich über die Ergebnisse berichten. kontext und Eckpunkte im Beschäftigungsverhältnis regelt. Dazu gehören beispielsweise ein Verbot der Totalüberwachung, Grenzen einer Verhaltens-und 4.3 Interdisziplinärer Beirat Leistungskontrolle, Hinweise zu Beweisverwertungsver- Beschäftigtendatenschutz boten sowie der Einsatz neuer Technologien, insbeson- dere algorithmische Systeme. Wichtig sind neben einer Ein Beschäftigtendatenschutzgesetz ist dringend not- starken Datenschutzaufsicht auch Instrumente individu- wendig! ellen Schutzes, z. B. hinsichtlich der Durchsetzung der Betroffenenrechte sowie des kollektiven Schutzes. Bereits in meinem letzten Tätigkeitsbericht (s. 29. TB, Nr. 2.3; 7.2) habe ich dem Gesetzgeber empfohlen, von Ich begrüße, dass der Koalitionsvertrag 2021 ein der in der DSGVO eingeräumten Möglichkeit zeitnah Bekenntnis zur Schaffung von Regelungen zum Be- Gebrauch zu machen, nationale Regelungen zum Be- schäftigtendatenschutz enthält, um Rechtsklarheit für schäftigtendatenschutz zu erlassen. Seit vielen Jahren Arbeitgeber sowie Beschäftigte zu erreichen und die Per- fordern die Datenschutzaufsichtsbehörden von Bund sönlichkeitsrechte effektiv zu schützen und hoffe sehr, und Ländern ein Beschäftigtendatenschutzgesetz. Heute dass diese Chance in der 20. Legislaturperiode endlich ist dies umso dringender: Die rasant fortschreitende ergriffen wird. 42 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p42-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 43,
"content": "5 Gesetzgebung 5.1 Telekommunikationsgesetz Beispiel einen SMS-Dienst oder einen Messenger-Dienst gebung TKG/TTDSG verwenden würde. Die neue Definition findet sich nun in § 3 Nr. 61 TKG: „Telekommunikationsdienste [sind] in Nach langer Wartezeit gibt es seit Dezember 2021 das der Regel gegen Entgelt über Telekommunikationsnetze Telekommunikationsmodernisierungsgesetz. Zeitgleich erbrachte Dienste, die – mit der Ausnahme von Diens- werden andere Gesetze im Telekommunikationsbereich ten, die Inhalte über Telekommunikationsnetze und an das europäische Recht angepasst. -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen: In meinem letzten Tätigkeitsbericht (Nr. 5.10) konnte ich bereits über einen ersten Gesetzesentwurf berichten. →→ Internetzugangsdienste, (§ 3 Nr. 23 TKG) Das neue Telekommunikationsgesetz wurde im Rah- →→ interpersonelle Telekommunikationsdienste (im men des Telekommunikationsmodernisierungsgesetzes Sinne des § 3 Nr. 24 TKG) und (TKMoG) überarbeitet und trat am 1. Dezember 2021 zeitgleich mit dem Telekommunikation-Telemedien-Da- →→ Dienste, die überwiegend in der Übertragung von Signalen bestehen wie Übertragungsdienste, die für tenschutz-Gesetz (TTDSG) in Kraft. Hierbei werden die Maschine-Maschine-Kommunikation und für den bisherigen Datenschutzvorschriften aus dem neuen TKG Rundfunk genutzt werden;“ ausgeklammert und in das TTDSG überführt. Die No- velle dient zugleich der Umsetzung der Richtlinie (EU) Insbesondere durch den Begriff des interpersonellen 2018/1972 über den europäischen Kodex für die elektro- Telekommunikationsdienstes werden daher in Zukunft nische Kommunikation. neben der Internettelefonie sogenannten Over-the-Top- Dienste, wie Messenger-Dienste und Gruppenchats, Der Begriff des Telekommunikationsdienstes wird sowie auch webgestützte E-Mail-Dienste und Videokon- hierbei deutlich erweitert und umfasst nun auch Mes- ferenzdienste als Telekommunikationsdienst definiert. senger-Dienste, E-Mail-Dienste und Videokonferenz- dienste. Daher ergibt sich hier grundsätzlich seit dem Im Laufe der Ressortabstimmung zum TKMoG habe ich 1. Dezember 2021 eine einheitliche Zuständigkeit des durch zahlreiche Stellungnahmen auf die datenschutz- BfDI auf nationaler Ebene sowohl für Verstöße gegen rechtlichen Defizite des Gesetzesentwurfs hingewiesen. die Datenschutz-Grundverordnung (DSGVO) als auch bei Einige noch weitgehendere Vorstöße zur Erhebung und der Verletzung des Schutzes von Verkehrsdaten (vgl. im Weiterleitung von personenbezogenen Daten durch die Einzelnen §§ 29, 30 TTDSG). TK-Anbieter an Sicherheitsbehörden konnten dadurch verhindert werden. Dennoch enthält das Gesetz noch Bislang war der Begriff des Telekommunikationsdienstes zahlreiche kritisch zu beurteilende Regelungen, von in § 3 Nr. 24 TKG (alte Fassung) definiert als „in der Regel denen ich beispielhaft zwei herausgreifen möchte. gegen Entgelt erbrachte Dienste, die ganz oder überwie- gend in der Übertragung von Signalen über Telekommu- In § 172 Abs. 3 TKG ist festgelegt, dass nummernunab- nikationsnetze bestehen, einschließlich Übertragungs- hängige Dienste die Kennung des Dienstes, den Namen, dienste in Rundfunknetzen“ (sogenannter technischer die Anschrift, das Geburtsdatum sowie das Datum der Ansatz). Sowohl der Verordnungsgeber auf europäischer Vergabe der Kennung speichern müssen, soweit sie Ebene als auch der deutsche Gesetzgeber gehen nun von diese Daten erheben. Ursprünglich war sogar eine einem funktionalen Ansatz aus, da es aus der Sicht des Erhebungspflicht für noch weitere Daten geplant. Eine Endnutzers keinen Unterschied mache, ob dieser zum allgemeine Erhebungspflicht für Identifikationsdaten, Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 43",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p43-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 44,
"content": "wie sie in § 111 Abs. 1 TKG (alte Fassung) angelegt war, Diese folgt nicht automatisch aufgrund Änderungen von hätte jedoch die grundsätzlich anonyme Nutzbarkeit ent- Vorschriften zur Marktregulierung oder zur Sicherstel- sprechender Dienste konterkariert. Eine entsprechen- lung der Grundversorgung. Erweiterungen der Befugnis- de Erhebungspflicht erschien trotz des angestrebten se müssen im Rahmen des Gesetzgebungsprozesses im sicherheitspolitischen Zwecks unverhältnismäßig und Einzelnen begründet werden. Dazu sind entsprechende wurde von mir abgelehnt. Daher habe ich für eine mit Sachverhalte und Erkenntnisquellen darzustellen (vgl. § der zuvor geltenden Regelung des § 111 Abs. 2 TKG (alte 43 Abs. 1 Nr. 1 und 2 Gemeinsame Geschäftsordnung der Fassung) vergleichbare Norm plädiert, die für elektro- Bundesministerien). Dies ist vorliegend beim neuen TKG nische Post gilt. Diese sieht zwar eine Speicherpflicht aber nicht geschehen. für einzelne erhobene Daten, aber keine zusätzliche Als ein weiteres Beispiel weise ich auf die Regelung des Erhebungspflicht vor. Dennoch ist durch die Speicher- § 170 Abs. 11 TKG (neue Fassung) hin: Diese Vorschrift pflicht zum Beispiel des Geburtsdatums ein zusätzliches sieht vor, dass die Betreiber von elektronischen Kom- Datum eingeführt worden, durch das die anonyme munikationsdiensten sicherstellen müssen, dass eine Nutzbarkeit der Dienste zumindest eingeschränkt wird. durch einen anderen europäischen Betreiber veranlasste Gerade für bestimmte Berufsgruppen, wie Anwältinnen Verschlüsselung zu dessen Nutzern aufgehoben wird. und Anwälte oder Journalistinnen und Journalisten, ist Erfasst wären somit die verschlüsselten Gespräche. Zu die anonyme Nutzbarkeit moderner Kommunikations- beachten ist zunächst, dass keinesfalls über die Anfor- mittel wie E-Mail und Messenger-Dienste ein wichtiger derung aus § 8 Abs. 3 TKÜV hinausgegangen werden Bestandteil ihrer täglichen Arbeit. Die Erweiterung der darf. Wenn ein verschlüsseltes Gespräch unverschlüsselt gesetzlichen Regelung in § 172 Abs. 3 TKG folgt hier- ausgeleitet werden muss, bedeutet dies automatisch bei nicht etwa – wie man meinen könnte – aus dem eine Schwächung der Verschlüsselung. Dies bedingt eine Kodex für elektronische Kommunikation, der mit der Verschlechterung der Datensicherheit. Verschlüsselung Gesetzesnovelle in nationales Recht umgesetzt wur- ist die Basis für den Schutz der Privatsphäre eines jeden de, sondern folgt allein den Änderungswünschen des Einzelnen und fast jeder wirtschaftlichen Betätigung deutschen Gesetzgebers. Dies sehe ich unter einem in der digitalen Welt. Zur Stärkung des Brief-, Post- und weiteren Gesichtspunkt kritisch: Die Übernahme von Fernmeldegeheimnisses und des Grundrechts auf Ge- und die Anpassung an Begrifflichkeiten, wie sie etwa in währleistung der Vertraulichkeit und Integrität infor- der Richtlinie (EU) 2018/1972 oder sonst in Bezug auf die mationstechnischer Systeme ist es erforderlich, Daten anderen Teile des TKG vorgesehen sind, ist kein Automa- wirkungsvoll vor Zugriffen Unberechtigter schützen zu tismus. Diese Begrifflichkeiten dienen im Wesentlichen können. Der Einsatz von Kryptographie ist hierbei ein anderen Zielsetzungen, wie etwa der Marktregulierung, ganz elementares Instrument. Ich bewerte jede Form der Frequenzpolitik, dem Schutz der Endnutzenden, der Senkung des Schutzniveaus kritisch, insbesondere dem institutionellen Gefüge oder einer Grundversor- des Kryptoniveaus. Zudem ist zu erwarten, dass es bei gung mit Telekommunikationsdiensten. Hiervon zu den zwischen den Unternehmen zu treffenden Verein- unterscheiden ist die Erweiterung der Befugnisse der barungen im Gegenzug dazu kommen wird, dass auch Sicherheitsbehörden z. B. hinsichtlich des Zugriffsrechts die ausländischen Unternehmen verlangen werden, auf Daten im Rahmen der Auskunftsverfahren nach dass ihnen ein Abhören deutscher Staatsbürgerinnen § 173 und § 174 TKG, etwa durch eine Ausweitung des und Staatsbürger während eines Auslandsaufenthalts Kreises der verpflichteten Telekommunikationsanbieter. ermöglicht wird. 44 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p44-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 45,
"content": "Auch das „Telekommunikation-Telemedien-Daten- erweiterten Kreis von Interessenvertretern stellt das schutz-Gesetz“ (TTDSG) ist zum 1. Dezember 2021 in neue Gesetz nunmehr bindende Grundsätze für eine Kraft getreten. Dieses enthält die Datenschutzvorschrif- integre Interessenvertretung auf. ten, die vormals im TKG zu finden waren sowie Regelun- Die 37. Konferenz der Informationsfreiheitsbeauftrag- gen zu Telemedien aus dem Telemediengesetz (TMG). ten in Deutschland hatte am 12. Juni 2019 unter meiner Erfreulich ist, dass der Gesetzgeber meine Forderung Mitwirkung eine Entschließung zur Einrichtung von zu Cookies umgesetzt hat. Der neue § 25 TTDSG setzt verpflichtenden Lobbyregistern verabschiedet. Diese die ePrivacy-Richtlinie endlich richtlinienkonform um, grundsätzliche Forderung wurde mit dem Gesetz nun- da das Erfordernis einer Einwilligung als Regelfall im mehr erfüllt. Bestrebungen hinsichtlich weitergehender Gesetz normiert ist. Auch bei meinen Zuständigkeiten Regelungen verfolge ich mit Interesse. wurde mehr Klarheit geschaffen. Leider gibt es auch einige Mängel im Gesetz. Dies passiert, wenn ein Ge- setzgebungsverfahren „in letzter Minute“ vor Ende der Legislaturperiode kommt. So werden einige Definitionen 5.3 Open-Data-Gesetz wie „Teilnehmer“ oder „Nutzer“ nicht durchgängig ver- Mit der Verabschiedung des 2. Open-Data-Gesetzes wendet und einzelne Querverweise im Gesetz sind feh- wurde der Anwendungsbereich der Open-Data Rege- lerhaft. Ich habe in meinen Stellungnahmen gegenüber lungen des E-Government-Gesetzes sowohl hinsichtlich dem federführenden Ministerium und dem Parlament der zur Veröffentlichung verpflichteten Stellen, als auch mehrfach auf diese Fehler hingewiesen – in manchen hinsichtlich der zu veröffentlichenden Daten erweitert. Fällen leider vergeblich. Nun musste kurz nach Verkün- Änderungen bei der Bereitstellung offener Daten dung des Gesetzes ein Berichtigungsverfahren folgen. Ziel der Regelungen des Gesetzes zur Änderung des Neu eingeführt werden „Anerkannte Dienste zur Einwil- E-Government-Gesetzes und zur Einführung des Geset- ligungsverwaltung“. Hiermit sollen Internetnutzende zes für die Nutzung von Daten des öffentlichen Sektors ihre Einwilligungen z. B. bei Cookies nutzerfreundlich (sog. „2. Open-Data-Gesetz“) ist es, den Umfang der von verwalten können. Das TTDSG setzt hierfür nur einen der Bundesverwaltung bereitgestellten offenen Daten zu sehr groben Rahmen. Die Details müssen noch in einer erweitern. Der Anwendungsbereich des § 12a E-Govern- Rechtsverordnung festgelegt werden. Erst dann wird ment-Gesetzes (EGovG) wurde deshalb auf alle Behörden sich zeigen, ob dies einen Beitrag zur Eindämmung der des Bundes mit Ausnahme der Selbstverwaltungskörper- „Cookie-Banner“ leisten kann. schaften erstreckt. Die Bundesbehörden sind grund- sätzlich verpflichtet, unbearbeitete maschinenlesbare 5.2 Lobbyregistergesetz Daten, die sie zur Erfüllung ihrer öffentlich-rechtlichen Aufgaben erhoben haben, in maschinenlesbarer Form Das Lobbyregistergesetz soll ab 2022 mehr Transparenz zur Verfügung zu stellen. Eine weitere Neuerung stellt über die Interessenvertretung bei Bundestag und Regie- die Verpflichtung der Bundesbehörden dar, eine Stelle rung bringen. zu schaffen, die intern die Identifizierung und Bereit- stellung offener Daten koordiniert. Schließlich sind Das Gesetz zur Einführung eines Lobbyregisters für nunmehr auch Forschungsdaten grundsätzlich von der die Interessenvertretung gegenüber dem Deutschen Bereitstellungspflicht erfasst. Bundestag und gegenüber der Bundesregierung vom 16. April 2021 (Lobbyregistergesetz – LobbyRG) tritt am 1. § 12a EGovG sieht indes weiterhin umfangreiche Aus- Januar 2022 in Kraft. Entgegen erster Entwürfe gilt das nahme von diesen Regelungen vor. So besteht u. a. für Gesetz nicht nur für die Interessenvertretung gegenüber Hauptzollämter oder vergleichbare örtliche Bundesbe- dem Deutschen Bundestag, sondern auch gegenüber der hörden und die Geheimdienste keine Verpflichtung, eine Bundesregierung. koordinierende Stelle einzurichten. Ferner sind Beliehe- ne nicht vom Anwendungsbereich der Bereitstellungs- Das Gesetz bedeutet einen Fortschritt für die Informa- pflicht erfasst. tionsfreiheit. Die bisherigen Transparenzregelungen des Deutschen Bundestages bezogen sich lediglich auf Zu meinem Bedauern wurden die Ausnahmen in § 12a Interessenverbände und stellten keine verbindlichen EGovG noch erweitert, die Daten von der Bereitstel- Regelungen auf. Auch die Regelungen zum Informati- lungspflicht ausnehmen. Im Ergebnis stellen die Aus- onszugang auf Bundesebene, wie das Informationsfrei- nahmen einen vertretbaren Kompromiss zwischen dem heitsgesetz (IFG) oder das Umweltinformationsgesetz Interesse an der möglichst weitgehenden Bereitstellung (UIG), sparen den originär parlamentarischen Bereich offener Daten und dem Schutz insbesondere personen- bisher aus. Neben einer Registrierungspflicht für einen bezogener oder personenbeziehbarer Daten dar. Es Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 45",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p45-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 46,
"content": "bleibt abzuwarten, ob die neuen Regelungen auch mit bene Wirtschaftswachstum umfasse beispielsweise die „Leben gefüllt“ werden, und eine aktive und breite Be- Entwicklung von Apps und anderer datenbasierter und reitstellung offener Daten erfolgen wird. Die im Gesetz anwenderbezogener Lösungen. Die Open-Data-Strategie vorgesehene Evaluierung sollte zum Anlass genommen erwartet hier ein großes Potential für wirtschaftliches werden, sich einen klaren Überblick über die Umset- Wachstum und die Schaffung von Arbeitsplätzen. Die zung des Gesetzes zu verschaffen. Insbesondere sollte Nutzung offener Daten stelle ferner eine Möglichkeit für ggf. die Einführung von Sanktionsmöglichkeiten geprüft zivilgesellschaftliche und ökologische Initiativen dar, werden, um die Verpflichtung zur Datenbereitstellung technische Lösungen für bislang nicht berücksichtigte nachdrücklich zu betonen oder es sollte ein Anspruch Belange zu finden. Nicht zuletzt seien Effizienzgewinne auf die Bereitstellung der Daten gesetzlich geregelt in der Verwaltung zu erwarten. Der Datenaustausch re- werden. duziere bspw. Suchaufwand und lasse mögliche Mehrfa- cherhebungen entfallen. Auch die Entwicklung digitaler Mit dem Gesetz wurde ferner die neugefasste Richtlinie Verwaltungsdienstleistungen könne sich vorteilhaft auf (EU) 2019/1024 (PSI-Richtlinie) umgesetzt. Das Infor- die Steuerlast der Bürgerinnen und Bürger auswirken. mationsweiterverwendungsgesetz (IWG) wurde dabei durch das Datennutzungsgesetz (DNG) ersetzt. Das DNG Abschließend werden konkrete Maßnahmen aufgelistet, gilt auch für Länder und Kommunen sowie bestimmte die drei Handlungsfeldern zugeordnet werden. Teilweise öffentliche Unternehmen der Daseinsvorsorge. Es regelt wurden diese Maßnahmen bereits umgesetzt (u. a. Än- die Weiterverwendung von auf der Grundlage anderer derungen des § 12a E-Government-Gesetz, siehe Nr. 5.2.) gesetzlicher Regelungen bereitgestellten öffentlichen oder sind derzeit in der Umsetzung (z. B. der Aufbau des Daten. Kompetenzzentrums Open Data (CCOD) beim Bundes- verwaltungsamt). 5.3.1 Open-Data-Strategie der Bundesregierung Ich begrüße die Vorhaben und Initiativen der Open-Da- Die Bundesregierung hat mit ihrer Open-Data-Strate- ta-Strategie und hoffe, dass das Konzept „open by gie erstmals Leitlinien für die proaktive Bereitstellung default“ bei mehr und mehr Behörden zur Selbstver- von Verwaltungsdaten definiert. Positiv ist neben der ständlichkeit wird. Initiative selbst das ausdrückliche Bekenntnis zum Es freut mich, dass der Aspekt des Datenschutzes aus- Datenschutz. drücklich in die Leitlinien aufgenommen wurde. Daten- Die Open-Data-Strategie der Bundesregierung soll den schutz und Open-Data schließen sich nicht aus, sondern Rahmen für eine Verbesserung des „Open-Data-Ökosys- ergänzen sich. Ein falsch verstandener Datenschutz tems“ des Bundes schaffen. Die Bereitstellung offener sollte nicht dazu verleiten, die Bereitstellung offener Daten wird als wichtiges Element für offenes Regie- Daten vorsorglich zu beschneiden. Datenschutz ist keine rungshandeln beschrieben, das geeignet sei, das Ver- Ausrede für mangelnde Offenheit. trauen in die politischen Institutionen zu stärken. Der Eine Ausweitung der Bereitstellung offener Daten, insbe- Datenbestand der Bundesbehörden solle weiter geöffnet sondere auch über technische Schnittstellen (API), sollte und entgeltfrei zur freien Nutzung zu Verfügung gestellt, weiter vorangetrieben werden. Wie in der Open-Da- der Umfang und die Qualität der bereitgestellten Daten ta-Strategie vorgesehen, könnte auch hier der Austausch ferner erhöht werden. Schließlich ziele die Open-Da- mit zivilgesellschaftlichen Initiativen, die schon gezeigt ta-Strategie auch darauf, eine Bereitstellung offener Da- haben, welche Ergebnisse mit einfachen Mitteln zu ten durch Wirtschaft, Wissenschaft und Zivilgesellschaft erreichen sind, sinnvolle Anregungen ergeben. zu fördern. In der Open-Data-Strategie werden sechs Leitlinien formuliert, an denen sich die Maßnahmen zur Bereit- stellung und Nutzung offener Daten orientieren sollen. Dabei wird u. a. die Realisierung des wirtschaftlichen Potentials offener Daten, die Verbesserung der Daten- kompetenz in der Verwaltung und der Bereitstellung offener Daten sowie eine verantwortungsvolle und gemeinwohlorientierte Nutzung der Daten unter Beach- tung von Datenschutz und Datensouveränität betont. In drei hervorgehobenen Bereichen werden beispielhaft Anwendungsmöglichkeiten dargestellt. Das datengetrie 46 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p46-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 47,
"content": "5.4 Änderungen am Ausländer geändert hat. Wie die praktische Umsetzung im Bereich zentralregistergesetz der Bundesbehörden erfolgt, werde ich bei künftigen Kontrollen in den Blick nehmen. Mit dem Gesetz zur Weiterentwicklung des Auslän- derzentralregisters soll das Ausländerzentralregister (AZR) zum zentralen Ausländerdateisystem ausgebaut 5.5 Bundespolizeigesetz werden. Die Daten für ausländerrechtliche Fachver- Das Bundespolizeigesetz (BPolG) wurde nach wie vor fahren sollen aktuell und synchron gehalten sowie nicht an die zwingenden europarechtlichen Vorgaben den befassten Behörden digital zur Verfügung gestellt der JI-Richtlinie angepasst. Ein Entwurf der damaligen werden. Doppelte Datenspeicherungen sollen damit Regierungsfraktionen im Deutschen Bundestag, der künftig vermieden werden. dem Europarecht allenfalls in Teilen Rechnung getra- Speicherung von Dokumenten im Volltext gen, gleichzeitig aber verfassungsrechtlich problema- tische neue Eingriffsbefugnisse für die Bundespolizei Mit dem Gesetz zur Weiterentwicklung des Ausländer- geschaffen hätte, scheiterte im Bundesrat. zentralregisters besteht künftig die Möglichkeit, Do- kumente im Volltext im AZR abzuspeichern, wie etwa Bereits in meinem 29. Tätigkeitsbericht habe ich darüber asyl- und aufenthaltsrechtliche Entscheidungen sowie berichtet, dass die zwingenden europarechtlichen Vorga- ausländische Identitätspapiere. Eine Speicherung darf ben beim BPolG noch nicht umgesetzt wurden, obwohl jedoch nur erfolgen, soweit keine besonderen gesetz- dies bis zum 6. Mai 2018 hätte erfolgen müssen (vgl. 29. lichen Verarbeitungsregelungen oder überwiegende TB Nr. 6.7). Die damaligen Regierungsfraktionen haben schutzwürdige Interessen der ausländischen Person dann im letzten Jahr einen eigenen Änderungsentwurf entgegenstehen. Im Rahmen meiner Beteiligung im im Bundestag eingebracht. Bei dieser Initiative aus der Gesetzgebungsverfahren habe ich mich kritisch zu der Mitte des Parlaments, die auf Formulierungshilfen aus Volltextspeicherung ohne entsprechende technisch-or- der Bundesregierung beruhte, fand zuvor keine formale ganisatorische Sicherungsmaßnahmen geäußert (s. Ressortbefassung im Kreis der Bundesregierung statt, in meine Stellungnahme an den Innenausschuss des die ich eingebunden worden wäre. Meine datenschutz- Deutschen Bundestages vom 30. April 2021, www.bfdi. rechtlichen Bedenken konnte ich daher erst spät bei der bund.de/stellungnahmen). Es hätten Regelungen zur Zu- Anhörung des Gesetzentwurfs gegenüber dem Aus- griffsberechtigung und Beschränkungen des Zugriffs auf schuss für Inneres und Heimat einbringen. den Volltext getroffen werden können. Als Reaktion auf Dem Ausschuss gegenüber habe ich deutlich gemacht, meine Kritik hat der Gesetzgeber folgende Lösung favor- dass ich die Erweiterung der Befugnisse der Bundespo- isiert: Erkenntnisse aus dem Kernbereich persönlicher lizei für verfassungsrechtlich bedenklich halte, weil es Lebensgestaltung sind nunmehr in den Dokumenten un- sich bei der Bundespolizei um eine Sonderpolizei mit kenntlich zu machen. Es wird für mich aufwendig sein begrenztem Aufgabenspektrum für Bahnhöfe, Flughäfen zu kontrollieren, ob die entsprechenden Schwärzungen und die Landesgrenzen handelt; im Übrigen liegt die Zu- auch in angemessener Weise vorgenommen werden. ständigkeit bei den Ländern. Auch die im Entwurf vorge- Speicherung ausländischer Personenidentitäts sehene Ermächtigung zur präventiven Überwachung der nummer Telekommunikation und vor allem die Möglichkeit einer sog. „Quellen-TKÜ“ halte ich für sehr problematisch. Für Entgegen meiner Kritik ist im Gesetz die Speicherung Letztere müssten gezielt offengehaltene Sicherheitslü- ausländischer Personenidentitätsnummern aufgenom- cken ausgenutzt werden, was im Ergebnis das Sicher- men worden. Bei diesen handelt es sich um lebens- heitsniveau für digitale Kommunikation senkt. länglich unveränderliche Personenkennzeichen, die in vielen Staaten vergeben werden. Das Erfordernis Die europarechtlichen Vorgaben zu den Aufsichtsbe- dieses Speicherdatums im AZR ist meiner Auffassung fugnissen der Datenschutzbehörden wurden überdies nach nicht überzeugend begründet worden. Es erfolgte im Entwurf nur zum Teil umgesetzt. Damit wären mir im Laufe des Gesetzgebungsprozesses zumindest eine unnötige Hürden für die Ausübung meiner Datenschutz- Klarstellung, dass die von der Registerbehörde übermit- kontrolle auferlegt worden. telte ausländische Personenidentifikationsnummer nur Da der Entwurf letztlich im Bundesrat am Votum der zum Zweck der eindeutigen Identifizierung einer Person Länder gescheitert ist, bleibt abzuwarten, wie das BPolG genutzt werden darf. in der neuen Legislaturperiode überarbeitet wird. Ich freue mich darüber, dass der Gesetzgeber einige meiner Hinweise aufgegriffen und den Gesetzentwurf ab Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 47",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p47-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 48,
"content": "5.6 Änderungen am BND-Gesetz gerückt. Ein von mir befürworteter inhaltsbezogener treten in Kraft Austausch jedenfalls zwischen der G10-Kommission, dem Unabhängigen Kontrollrat und meiner Behörde An den ursprünglichen Vorschlägen der Bundesregie- wurde nicht vorgesehen. rung zur Umsetzung verfassungsgerichtlicher Vorgaben Trotz einiger Anpassungen bleibt meine Kritik, die ich im BND-Gesetz haben die Koalitionsfraktionen im Lau- im Lauf des BND-Gesetzgebungsverfahrens geäußert fe des parlamentarischen Beratungsverfahrens schlus- habe, weitestgehend bestehen. Hierzu verweise ich auf sendlich nur marginale Änderungen vorgenommen. Das im Großteil zum 1. Januar 2022 in Kraft tretende meine öffentlich zugängliche Stellungnahme an den Gesetz bringt somit allenfalls strukturelle Anpassungen Ausschuss für Inneres und Heimat des Deutschen Bun- in der Kontrolllandschaft über den Bundesnachrichten- destages zum Gesetzentwurf der Bundesregierung zur dienst. Änderung des BND-Gesetzes vom 18. Dezember 2020, s. www.bfdi.bund.de/stellungnahmen Der Bundestag hat am 25. März 2021 Gesetzesänderun- gen am bestehenden BND-Gesetz mit der Zielrichtung der Umsetzung der Vorgaben des Bundesverfassungs- 5.7 Evaluierung des BDSG gerichts vom 19. Mai 2020 (Az. 1 BvR 2835/17) sowie des Bundesverwaltungsgerichts vom 13. Dezember 2017 (Az. Die Stellungnahme der DSK zur vom BMI durchgeführ- BVerwG 6 A 6.16 und 6 A 7.16) beschlossen. Bereits am ten Evaluierung des Bundesdatenschutzgesetzes (BDSG) 26. März 2021 hat der Bundesrat das Gesetz gebilligt. hat punktuellen gesetzgeberischen Handlungsbedarf Die ersten Vorschriften insbesondere zum Unabhängi- aufgezeigt. Dies gilt etwa für die Regelung zum Be- gen Kontrollrat sind bereits zum 22. April 2021 in Kraft schäftigtendatenschutz und zu den Durchsetzungsbe- getreten. Die weiteren Vorschriften treten zum 1. Januar fugnissen des BfDI sowohl im Anwendungsbereich der 2022 in Kraft. DSGVO, als auch im Anwendungsbereich der JI-Richtli- nie sowie gegenüber den Geheimdiensten. Mit Änderungsantrag der Fraktionen CDU/CSU und SPD, der nach der Sachverständigenanhörung im Innenaus- Das BMI führte im Berichtszeitraum entsprechend des schuss vorgelegt wurde, gab es im Ergebnis lediglich Auftrags aus der Gesetzbegründung eine Evaluierung einige wenige materiell-rechtliche Änderungen am des Gesetzes zur Anpassung des Datenschutzrechts an BND-Gesetz. Hervorzuheben sind die leichte Erhöhung die Verordnung (EU) 2016/679 und zur Umsetzung der der Eingriffsschwellen für die gezielte Erhebung von Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und Daten aus Vertraulichkeitsbeziehungen im Wege der Umsetzungsgesetz EU – DSAnpUG-EU2) durch. Kern- strategischen Ausland-Fernmeldeaufklärung und des stück dieses Gesetzes ist das neue, an die europarechtli- Eingriffs in informationstechnische Systeme. Danach chen Vorgaben aus DSGVO und JI-Richtlinie angepasste ist nun ein Eingriff in jene Vertraulichkeitsbeziehungen BDSG. möglich, wenn Tatsachen die Annahme eines Verdachts rechtfertigen, dass gewisse Straftaten oder Gefahren Zwar ergeben sich die wesentlichen datenschutzrecht- vorliegen. Ergänzend wurde eine Dokumentationspflicht lichen Regelungen im Anwendungsbereich der DSGVO über die Feststellung der Zugehörigkeit von Personen unmittelbar und EU-weit einheitlich aus dieser Verord- zum geschützten Personenkreis von Vertraulichkeits- nung. Das BDSG enthält aber Präzisierungen bzw. Modi- beziehungen vorgesehen. Zu diesem Kreis zählen laut fikationen, die sich auf Öffnungsklauseln in der DSGVO BND-Gesetz Geistliche, Verteidiger, Rechtsanwälte und stützen. Im Bereich Polizei und Justiz dient das BDSG Journalisten, deren Vertraulichkeitsbeziehung dem der Umsetzung der entsprechenden Richtlinie (JI-Richt- Schutz des § 53 Abs. 1 S. 1 Nr. 1, 2, 3 und 5 sowie S. 2 der linie). Auch hier ergeben sich die wesentlichen materi- Strafprozessordnung unterfallen würde. ellen Regelungen aus der europarechtlichen Grundlage, die allerdings nur eine Mindestharmonisierung vorsieht. Im Übrigen bleibt es bei strukturellen Anpassungen in der Kontrolllandschaft über den Bundesnachrichten- Die deutschen Aufsichtsbehörden wurden vom BMI im dienst. Das Parlamentarische Kontrollgremium wurde Rahmen der Evaluierung des BDSG beteiligt und haben durch den Änderungsantrag in das Zentrum verschiede- eine umfangreiche Stellungnahme abgegeben15. Einige ner Informationsflüsse zwischen den Kontrollorganen wesentliche Punkte der DSK-Stellungnahme sind: 15\t\u0007Stellungnahme der DSK zur Evaluierung des BDSG vom 02.03.21, abrufbar unter https://www.datenschutzkonferenz-online.de/stellungnahmen.html 48 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p48-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 49,
"content": "→→ Das BDSG zeigt sich hinsichtlich der Rechtsgrundla- auch für den nachrichtendienstlichen Bereich aus gen für die Verarbeitung sowie die Weiterverarbei- den genannten Gründen schon seit längerer Zeit Ab- tung personenbezogener Daten und der Vorschrift hilfe- und Sanktionsbefugnisse vergleichbar denen des § 29 BDSG über die Rechte der betroffenen der DSGVO bzw. der JI-RL (vgl. 27.TB Nr. 1.2.1). Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten als teilweise unions- In einer ergänzenden Stellungnahme habe ich mich zu- rechtswidrig (§ 4 Abs. 1 S. 1 Nr. 3, § 23 Abs. 1 Nr. 2 dem dafür ausgesprochen, im Gesetzestext zu § 18 BDSG und § 29 Abs. 3 S. 1 BDSG) und in weiten Teilen als klarzustellen, dass es eines gemeinsamen Standpunkts wenig normenklar und zu unbestimmt. der deutschen Aufsichtsbehörden in europäischen Angelegenheiten bereits im Kooperationsverfahren →→ § 26 BDSG wird in seiner aktuellen Fassung seiner (Art. 60 ff DSGVO) und nicht erst im Kohärenzverfahren Aufgabe im Beschäftigtendatenschutz nicht gerecht. (Art. 63 ff.) bedarf. Die deutschen Aufsichtsbehörden In der Praxis resultieren aus dem weiten Interpreta- sollten auf europäischer Ebene immer mit einer Stimme tionsspielraum für alle Beteiligten Unklarheiten. Um sprechen, um europäische Meinungsbildungsprozesse den besonderen Herausforderungen des Schutzes zu beschleunigen und deutsche Positionen dort besser der datenschutzrechtlichen Grundrechtsposition vertreten zu können. Dies wird von einem Teil der Auf- im Beschäftigtendatenschutz gerecht zu werden, sichtsbehörden der Länder anders gesehen. müssten diese normenklarer geregelt werden (vgl. oben 4.3). Das BMI hat seinen Bericht zur Evaluierung des BDSG im Oktober 2021 veröffentlicht.16 Dabei werden die Aus- →→ Die Anhebung des Schwellenwerts in § 38 Abs. 1 führungen der deutschen Aufsichtsbehörden umfäng- BDSG zur Benennung von Datenschutzbeauftragten lich erwähnt, in den Schlussfolgerungen aber leider nur auf 20 Beschäftigte hat weder eine Entbürokrati- teilweise aufgegriffen. Ich werde mich in der begonne- sierung, noch eine sonstige Entlastung von Unter- nen Legislaturperiode weiter für die oben dargestellten nehmen und Vereinen erreicht. Es traten vielmehr Änderungen im BDSG einsetzen. gegenteilige Effekte ein (vgl. 28. TB Nr. 5.1). →→ Mit einigen Einschränkungen der Betroffenenrechte Ich empfehle der Bundesregierung, die im Koalitions- in den §§ 32 bis 37 wird das BDSG den europarecht- vertrag angekündigte Institutionalisierung der DSK und lichen Vorgaben nicht gerecht und stellt bestehende die verbesserte verbindliche Kooperation der deut- datenschutzrechtliche Standards in Frage. Die Rechte schen Datenschutzaufsichtsbehörden durch die ent- der betroffenen Personen (Information, Auskunft, sprechenden gesetzgeberischen Maßnahmen alsbald in Löschung, Widerspruch, automatisierte Einzelent- Angriff zu nehmen. scheidung/Profiling) werden in unzulässigem Maße eingeschränkt. →→ Es ist dringend erforderlich, die aufsichtsbehörd- lichen Befugnisse im BDSG zu erweitern, indem gegenüber öffentlichen Stellen die Durchsetzung von Maßnahmen mit Zwangsmitteln sowie die Anord- nung der sofortigen Vollziehung ermöglicht wird. →→ Auch bleibt der BfDI im Bereich der JI-RL sowie außerhalb des Geltungsbereichs des EU-Rechts auf das Instrument der Warnung und der Beanstandung beschränkt, jedenfalls soweit weiterreichende Befug- nisse nicht in spezifischen Vorschriften des Polizei- rechts geregelt sind. Art. 47 Abs. 2 JI-RL enthält hin- gegen die Verpflichtung wirksame Abhilfebefugnisse zu gewähren. Diese Anforderung erfüllt die Regelung im BDSG nicht. Die nach wie vor nicht abgeschlosse- ne Umsetzung im Fachrecht zeigt deutlich, dass die wirksamen Abhilfebefugnisse für den JI-Bereich ein heitlich im BDSG geregelt werden sollten. Ich fordere 16 Abrufbar unter https://www.bmi.bund.de/SharedDocs/evaluierung-von-gesetzen/downloads/berichte/evaluierung-bdsg.pdf Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 49",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p49-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 50,
"content": "5.8 IT-Sicherheitsgesetz 5.9 EU Digitalgesetzgebung Mit dem IT-Sicherheitsgesetz 2.0 wurden viele neue Die EU-Kommission hat mit ihren Verordnungsvor- Aufgaben und Befugnisse für das Bundesamt für Si- schlägen zur Regulierung des europäischen Binnen- cherheit in der Informationstechnik (BSI) eingeführt. markts für Daten weitere Schritte zu einem EU-weiten In einer Dialogreihe arbeiten das BSI und mein Haus Regelwerk für den Digitalen Raum vorgelegt. Der gemeinsam an ihrer datenschutzkonformen Implemen- BfDI begleitet die Verhandlungen zu den einzelnen tierung. Rechtsakten sowohl national im Rahmen von Ressort- abstimmungen als auch durch Initiativen im Europäi- Am 27. Mai 2021 wurde das „Zweite Gesetz zur Erhöhung schen Datenschutzausschuss (EDSA). der Sicherheit informationstechnischer Systeme“ – oder kürzer das IT-Sicherheitsgesetz 2.0 – im Bundesgesetz- Aufbauend auf ihrer Ende 2020 veröffentlichten Da- blatt veröffentlicht. Ihm voraus ging ein langwieriges tenstrategie (COM/2020/66 final) hat die EU-Kommission Gesetzgebungsverfahren von rund zwei Jahren, das trotz im Berichtszeitraum mehrere Verordnungsvorschläge dieser Dauer von unangemessen kurzen Stellungnahme- vorgelegt, die einen „einheitlichen Rechtsrahmen für fristen geprägt war. Datenzugang und verantwortungsvolle Datennutzung“ in der EU bilden sollen. Im Kern handelt es sich dabei um Viele meiner Hinweise wurden im Gesetzgebungsver- zwei Rechtsakte mit dem Ziel der Regulierung von beste- fahren aufgegriffen und umgesetzt. Einige wichtige henden großen Datenplattformen sowie um Rechtsakte Forderungen wurden aber leider nicht übernommen: zur Förderung des Datenzugangs und des Datenaus- beispielsweise wurde mein klares Plädoyer gegen eine tauschs. Das Legislativpaket Digitale Dienste mit der Ausweitung der Speicherung von sog. Protokolldaten Verordnung über digitale Dienste (Digital Services Act, von 3 auf 12 Monate nicht nur verworfen, sondern im DSA) und der Verordnung über digitale Märkte (Digital Gegenteil sogar auf 18 Monate ausgeweitet. Dies wirft Markets Act, DMA) legt grundlegende Regeln für digitale aus meiner Sicht ganz erhebliche Fragen der Verhältnis- Dienste fest, die auf ein sicheres, vorhersehbares und mäßigkeit auf. vertrauenswürdiges Online-Umfeld und faire Märkte für Für das BSI führt das IT-Sicherheitsgesetz zu einem diese Dienste in der EU abzielen. Die Verordnung über erheblichen Verantwortungs- und Aufgabenzuwachs.17 Daten-Governance (Data Governance Act, DGA) hat zum In gleicher Weise steigt auch der Mehraufwand meines Ziel, die Verfügbarkeit von Daten öffentlicher Stellen Hauses für die datenschutzrechtliche Beratung und für Forschung und Wirtschaft in der EU zu erhöhen, Kontrolle des BSI. sog. Datenmittler zu etablieren und Mechanismen für gemeinsame gemeinwohlbezogene Datennutzungen zu Mir war wichtig, das BSI bei der Umsetzung der neuen fördern. Vorgaben des IT-Sicherheitsgesetzes 2.0 von Anfang an proaktiv zu begleiten. Nach dem Credo: „Datenschutz Insbesondere der DGA soll Ende 2021 um den Entwurf von Anfang an“ haben wir hierfür einen sehr erfolg- des sog. Data Act (DA) ergänzt werden. Zu diesem ge- reichen gemeinsamen Dialogprozess initiiert, um alle planten Rechtsakt hat die EU-Kommission im Mai 2021 neuen Prozesse und Systeme des BSI direkt in ihrer Ent- eine Folgenabschätzung (Inception Impact Assessment) wicklung datenschutzkonform auszugestalten und die veröffentlicht18. Daraus wird erkennbar, dass möglicher- Zusammenarbeit zwischen beiden Häusern bestmöglich weise konkrete Zugangsrechte zu Daten, auch personen- zu operationalisieren. bezogenen Daten, geschaffen werden könnten, um sog. Datenmärkte zu fördern. Deutlich wird sowohl bei DGA als auch DA, dass im Mittelpunkt der Anstrengungen des EU-Gesetzgebers verbesserte Rahmenbedingungen für digitale Geschäftsmodelle und Verarbeitungsformen sowie zugleich der Datenanalyse durch sog. Künstlichen Intelligenz (KI) stehen. Beide Verarbeitungsformen stel- len allerdings das bisherige Schutzkonzept des Daten- schutzes vor erhebliche Herausforderungen. Umso mehr gilt es, diese geplanten Rahmenregelungen für sog. 17\t\u0007Kerninhalte des Gesetzes können abgerufen werden unter https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html 18\t\u0007vgl. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13045-Data-Act-&-amended-rules-on-the-legal-protection-of-data- bases_en 50 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p50-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 51,
"content": "Datenmärkte im Hinblick auf die Risiken in Gestalt eines zgrundsätzen unzulässigen Handels mit auch perso- massenhaften Austausches von auch personenbeziehba- nenbezogenen Datenbeständen via Datenmittler muss ren Daten und deren Auswertung insbesondere zu rein entgegengetreten werden. kommerziellen Zwecken sorgfältig im Blick zu behalten. Drittens werden Rahmenbedingungen geschaffen, die Die EU-Kommission betrachtet zwar die seit 2018 Mitgliedstaaten zur Schaffung von sog. datenaltruisti- geltende DSGVO dabei als ersten Schritt auf dem Weg, schen Organisationen ermutigen sollen. Das Vertrauen für einen „soliden Rahmen für Vertrauen im digitalen in solche Organisationen soll derart gestärkt werden, Umfeld“ zu sorgen. Sie soll von den neuen Rechtsakten dass Bürger freiwillig ihre personenbezogenen Daten für unberührt bleiben. Es bestehen aber viele Unklarheiten gemeinwohlbezogene Ziele, wie etwa zu Forschungszwe- im Verhältnis zur und in den Auswirkungen auf die DSG- cken, hergeben. Auch hier gilt es, die Wahrung der Da- VO. Die Rechtsakte haben weitere Schnittstellen, die sich tenschutzgrundsätze bei der gesetzlichen Ausgestaltung auf den Datenschutz in der EU insgesamt ganz erheblich sicherzustellen. Bei allen Regelungsansätzen stellt sich auswirken werden. Ziel meiner Beratung ist es, auf diese das Problem, dass neben der Datenschutzaufsicht eine Problempunkte hinzuweisen und auf eine möglichst eigene Aufsichtsstruktur geschaffen werden soll, obwohl datenschutzfreundliche Regulierung hinzuwirken. Dabei in der Sache überlappende Zuständigkeiten bestehen gilt es im Blick zu behalten, ob und inwieweit aus diesen werden. neuen, weitreichenden EU-Rechtsakten auch weiterer Hierzu sowie zu weiteren kritischen Punkten habe ich gesetzlicher Regelungsbedarf zum Schutz der Daten- gemeinsam mit meinen europäischen Kolleginnen und schutzrechte der Bürgerinnen und Bürger erwachsen Kollegen und dem Europäischen Datenschutzbeauftrag- könnte. ten (EDPS) im EDSA eine umfängliche Stellungnahme DGA verfasst19. Der DGA verfolgt in drei unterscheidbaren Handlungs- DSA feldern die Schaffung von Rahmenbedingungen für eine Der DSA definiert neu, welche Rechte und Pflichten sog. Datenökonomie. Anbieter von Inhalten im Internet haben. Er legt Sorg- Erstens werden Voraussetzungen für die Weitergabe von faltspflichten zu Inhaltsbeschränkungen und illegalen Daten durch öffentliche Stellen zur allgemeinen Nut- Inhalten fest und schafft Transparenz für Verbraucher zung (Open Data) geschaffen. Zukünftig sollen Behörden im Hinblick auf Online-Kauf, Werbung und Empfeh- u. a. auch personenbezogene Daten etwa zur kommer- lungssysteme. Ich hätte mir, insbesondere im Hinblick ziellen Weiterverwendung freigeben, das Konzept von auf personalisierte Werbung, ein mutigeres Vorgehen Open Data erfährt damit eine erhebliche Ausweitung. gewünscht und setze mich für ein Verbot von bestimm- Die Schaffung von Rechtsgrundlagen für die zulässige ten Tracking- und Profilingpraktiken ein. Da bei der Weitergabe soll allerdings den Mitgliedstaaten überlas- Umsetzung des DSA häufig auch Datenschutzfragen zu sen und die DSGVO insgesamt unberührt bleiben. beantworten sind, z. B. beim vorgesehenen Zugriff von Forschenden auf Daten großer Online-Plattformen, sind Zweitens werden Dienste für die gemeinsame Daten- die Datenschutzaufsichtsbehörden sowohl auf nationa- nutzung, sog. Datenintermediäre oder Datenmittler, ler als auch auf europäischer Ebene zwingend einzube- definiert. Entsprechende Dienste sollen unter neutraler ziehen. Vermittlung Datenanbieter und Datennutzer zusam- menbringen. Für den Bereich der sog. PIMS (Personal DMA Information Management Systems), also Dienstleistern Der DMA verfolgt als allgemeines Ziel die wettbewerbs- zur Unterstützung von Bürgern bei der Ausübung ihrer rechtliche Fairness und Bestreitbarkeit im digitalen Datenschutzrechte, werden in diesem Kontext Potentiale Sektor und ist im Speziellen auf die Regulierung der für eine Weiterentwicklung des Datenschutzes gesehen. großen zentralen Plattformdienste gerichtet. Er soll das Insgesamt bleibt in der Diskussion noch weitgehend of- grundsätzlich erst nach einer Rechtsverletzung greifen- fen, unter welchen Voraussetzungen solche Datenmittler de Wettbewerbsrecht gegenüber den großen Anbietern für welche Zwecke tätig werden dürfen. Erst die nähere zentraler Plattformdienste durch eine ex ante Regulie- Ausgestaltung wird eine konkrete Bewertung erlauben. rung ergänzen. Erfüllt ein zentraler Plattformdienst Den Risiken der Entwicklung eines nach Datenschut die durch den DMA vorgegebenen Kriterien zur Einstu 19\t\u0007Stellungnahme 03/2021, abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opini- on-032021-proposal_de. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 51",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p51-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 52,
"content": "fung als sog. Gatekeeper, werden ihm durch den DMA 5.10 Entwicklungen bei zusätzliche Verhaltenspflichten auferlegt, um unlaute- Gesundheitsregistern re Praktiken zu verhindern. Diese Verhaltenspflichten enthalten auch datenschutzrelevante Vorgaben, wie Bei der Umsetzung gesetzlicher Regelungen in die das Verbot, personenbezogene Daten mit solchen aus Praxis liegt die Tücke oft im Detail. Beim Organspen- Drittdiensten oder mehreren von einem Unternehmen derregister betraf dies die Authentifizierung. Und auch betriebenen zentralen Plattformen zusammenzuführen, beim Implantateregister war es nicht einfach, Betriebs- wenn keine wirksame Einwilligung nach der DSGVO verordnung und Bereitstellung der nötigen Serverka- vorliegt. Zur effizienten und effektiven Durchsetzung der pazitäten mit den gesetzlichen Vorgaben in Einklang zu Regelungen gegenüber den Gatekeepern ist es unabding- bringen. Beim Zentrum für Krebsregisterdaten lässt die bare Voraussetzung, dass für eine Kooperation zwischen Nutzung des erheblich erweiterten Datensatzes auch der Vollzugsbehörde und den Datenschutzaufsichtsbe- kommerzielle Forschung zu. Bei einem Antrag auf Da- hörden entsprechende Regelungen im DMA vorgesehen tennutzung hat der neue wissenschaftliche Ausschuss werden. Dabei setze ich mich dafür ein, dass EDSA und u. a. das Reidentifikationsrisiko zu bewerten. EDPS ebenfalls in diese Kooperation mit einbezogen Organ- und Gewebespenderegister (OGR) werden. Des Weiteren stelle ich im Rahmen meiner Beratung sicher, dass bei Bezugnahmen auf datenschutz- Im letzten Jahr hatte ich bereits das Bundesinstitut für rechtliche Verpflichtungen im DMA das Schutzniveaus Arzneimittel und Medizinprodukte (BfArM) bei der der DSGVO erhalten wird. technischen Umsetzung der Regelungen zum Online-Re- gister zur Dokumentation der Erklärung zur Organspen- Fazit de beraten (29. TB, Nr. 7.3). Das Register soll im März Vor dem Hintergrund der vorliegenden Entwürfe zu 2022 den Betrieb aufnehmen. Im Berichtszeitraum ergab DGA, DMA und DSA sowie dem Verlauf der bisherigen sich eine Vielzahl weiterer Einzelfragen, mit denen die Verhandlungen der Mitgliedstaaten sowie des Europä- Bundesdruckerei als Auftragsverarbeiter für das BfArM ischen Parlaments zu diesen Gesetzesakten habe ich auf mich zukam. als Ko-Berichterstatter die Initiative meines nieder- Im Gesetz ist vorgesehen, dass die Erklärung in Pass- ländischen Kollegen unterstützt, in der gemeinsamen und Ausweisstellen, also etwa in den kommunalen Stellungnahme des EDSA vom 18. November 2021 alle Bürgerservicebüros, abgegeben werden kann. Hierzu drei Rechtsakte betreffende, übergreifende Kritikpunkte sollten dort aufgestellte Terminals dienen. Dies erschien zu benennen und zu bündeln20. dann in der Praxis allerdings als zu aufwändig. Infolge- dessen kann sich die erklärende Person dort demnächst lediglich authentifizieren. Sie erhält dann eine Nummer, unter der sie sich beim Registerportal anmelden und die eigentliche Erklärung abgeben kann. Dies halte ich für datenschutzrechtlich zulässig, weil die Authentifizierung als Teil der ursprünglich vorgesehenen Erklärungsabga- be auf gesetzlicher Grundlage beruht („Minus“). Eine Au- thentifizierung mittels AlVi, der alternativen Versicher- tenidentität (die ohne Verwendung der elektronischen Gesundheitskarte auskommt), hielt ich dagegen nicht für zulässig. Dieses Verfahren hat nur einen eng begrenzten Anwendungsbereich. Es betrifft allein die Anwendungen elektronische Patientenakte, elektronischer Medikati- onsplan und elektronische Patientenkurzakte. Für die „kartenfreie“ Authentifizierung der Versicherten zum Organspenderregister kommt daher nur die sog. Digitale Identität nach § 291 Abs. 8 SGB V in Betracht, die ab 2023 zur Verfügung stehen soll. Daneben ist die Authentifi- zierung mit der online-Funktion des Personalausweises möglich. 20\t\u0007Statement on the Digital Services Package and Data Strategy, abrufbar unter: https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-digital-services-package-and-data-strategy_en 52 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p52-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 53,
"content": "Der Datensatz im Organspenderregister soll die Angaben ist als personenbezogenes Datum einzuordnen, eine des Organspendeausweises im Kartenformat abbilden. Übermittlung daher nur unter Einbindung der Vertrau- Da mir mitgeteilt wurde, dass auf dem Freitextfeld der ensstelle zulässig. Schließlich bot das vorgesehene Ab- Ausweiskarte oft Vorerkrankungen eingetragen werden, rufverfahren bei den Krankenkassen Anlass zur Kritik. war ein weiteres Problem der Schutzbedarf dieser Daten. Im Gesetz ist vorgesehen, dass die Krankenkassen für Bisher waren die Angaben zum OGR nicht als besonders ihre Versicherten Änderungen mitteilen (Wechsel der schützenswerte Daten angesehen worden. Um zu verhin- Krankenkasse, Versterben etc.). Laut Verordnungsent- dern, dass sich durch den Eintrag von solchen Gesund- wurf sollte das Register jedoch von sich aus turnusmäßig heitsdaten die Schutzkategorie und damit der technische Abfragen bei allen Krankenkassen starten. Hier konnte Aufwand erhöht, habe ich empfohlen, ganz auf das Feld ich erreichen, dass die Meldung durch die Krankenkas- zu verzichten oder statt des Freitextfeldes häufige Einträge sen den Regelfall darstellt und die von der Registerstelle ohne Gesundheitsinformationen zur Auswahl anzubieten. initiierte Abfrage auf besonderen Fälle beschränkt bleibt. Unverändert ist die Registerstelle beim BMG an- Implantateregister gesiedelt, obwohl dies keine geeignete Registerbehörde Beim Implantateregister befasste ich mich vorrangig ist, wie sich auch der Gesetzesbegründung entnehmen mit den Hostingdienstleistern der Registerstelle und lässt. Dies ist nur so lange unproblematisch, wie der der Vertrauensstelle. Die mit dem Hosting betrauten Ein- eigentliche Registerbetrieb noch nicht angelaufen ist. richtungen stellen Serverkapazitäten bereit und über- Ich werde die Situation beobachten und habe dem BMG nehmen die Datenverarbeitung. Das BMG hatte für die dringend empfohlen, zeitnah eine geeignete Behörde bei ihm angesiedelte Registerstelle die D-Trust GmbH vorzusehen, die den Registerbetrieb dauerhaft rechtssi- der Bundesdruckerei mit dem Hosting beauftragt. Das cher und datenschutzkonform übernehmen kann. Robert Koch-Institut (RKI) war für die bei ihm angesie- Zentrum für Krebsregisterdaten delte Vertrauensstelle noch auf der Suche nach einem Hoster, der an die zur Übermittlung verwendete Telema- Über Pläne zur Ausweitung des beim Zentrum für Krebs- tikinfrastrukur (TI) angeschlossen werden konnte. Im registerdaten (ZfKD) beim RKI vorgehaltenen Datensat- Gesetz ist vorgesehen, dass die Vertrauensstelle von der zes hatte ich bereits berichtet (29. TB Nr. 7.3 S. 69). Für Registerstelle getrennt sein muss. Das bedingt zugleich mich kritisch war der große Kreis der Zugangsberechtig- voneinander verschiedene Stellen, die das Hosting über- ten, da auf Antrag auch Private, also auch Unternehmen nehmen. Es gibt jedoch wenige Anbieter mit genügend der Pharmaindustrie, Zugang erhalten. In der Ressortab- freien Serverkapazitäten, welche die strengen Sicher- stimmung konnte ich allerdings erreichen, dass neben heitsanforderungen erfüllen können, die sich hier aus dem Beirat auch ein wissenschaftlicher Ausschuss an der Schutzkategorie und der enormen Menge der Daten der Entscheidung über den Antrag beteiligt ist. Da dieser ergeben. Daher wurde ich mehrfach gefragt, inwieweit unter anderem das Reidentifikationsrisiko prüft, sollen Abstriche von den Anforderungen möglich wären, um ihm auch Datenschutz-Sachverständige angehören. den planmäßigen Start des Registers nicht zu gefährden. Weitere Regelungen waren jenen für das Forschungs- Auch stand ein mögliches Hosting der Vertrauensstelle datenzentrum beim BfArM in § 303e SGB V angelehnt: bei der Bundesdruckerei GmbH, dem Mutterkonzern der vorrangig werden anonymisierte Daten übermittelt, der D-Trust GmbH, bei der bereits die Registerstelle gehostet Zugang zu pseudonymisierten Datensätzen ist nur unter wurde, zur Diskussion. Hiervor konnte ich nur warnen: Kontrolle des Zentrums für Krebsregisterdaten zulässig, Bei einem so umfangreichen Register ist das Einhalten Fehlverhalten wird sanktioniert und bewilligte Anträge der Datenschutzvorgaben unabdingbare Grundlage für werden in einem Verzeichnis veröffentlicht. Das Gesetz das Vertrauen der Betroffenen. Letztlich wurde erfreu- trat Ende August in Kraft (Gesetz zur Zusammenführung licherweise eine Lösung gefunden, die Aufträge daten- von Krebsregisterdaten vom 18. August 2021, BGBl. I, schutzkonform zu vergeben. S. 3890). Ich werde die Antragsbearbeitung im Blick Ein weiteres Thema der Beratung waren die Datenflüsse behalten, um sicherzustellen, dass trotz der Zugangsbe- zwischen den Beteiligten. Erste Ablaufpläne entspra- rechtigung für kommerzielle Forschung der Schutz der chen nicht den Vorgaben im Implantateregistergesetz. Betroffenen gewahrt bleibt. Noch vor Abschluss dieser Beratungen erreichte mich überraschend bereits der Entwurf der Implantateregis- Ich empfehle dem BMG für den Betrieb des Implanta- ter-Betriebsverordnung, der einige Punkte enthielt, die teregisters eine geeignete Behörde vorzusehen – und noch Gegenstand der Diskussion waren. Unter anderem gegebenenfalls zu schaffen –, die den Registerbetrieb konnte ich den direkten Datenaustausch zwischen Regis- dauerhaft rechtssicher und datenschutzkonform ohne ter und Krankenhaus unter Verwendung eines Datensat- Interessenkonflikte übernehmen kann. zidentifikators verhindern. Der Datensatzidentifikator Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 53",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p53-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 54,
"content": "5.11 Datenerhebungsbefugnisse →→ dazu, ob eine Wiederaufnahme der Arbeit absehbar der Krankenkassen im Kranken ist und gegebenenfalls zu welchem Zeitpunkt eine Wiederaufnahme der Arbeit voraussichtlich erfolgt, geldfallmanagement und Mit dem Gesetz zur Weiterentwicklung der Gesund- →→ zu konkret bevorstehenden diagnostischen und heitsversorgung (Gesundheitsversorgungsweiter- therapeutischen Maßnahmen, die einer Wiederauf- entwicklungsgesetz – GVWG) hat der Gesetzgeber nahme der Arbeit entgegenstehen, klargestellt, dass der Datenerhebungsbefugnis der im jeweils erforderlichen Umfang erheben und verarbei- Krankenkassen bei der Prüfung, ob ein Gutachten des ten. Medizinischen Dienstes (MD) beauftragt werden soll, Grenzen gesetzt sind. Meine seit Jahren vertretene Auch auf meine erheblichen datenschutzrechtlichen Rechtsauffassung wurde damit bestätigt. Bedenken im Hinblick auf die von diversen Krankenkas- sen praktizierten telefonischen Versichertenanfragen, In meinem 29. TB (Nr. 7.15) hatte ich darüber berichtet, die teilweise unzulässige Fragen nach gesundheitlichen, dass in Gesprächen mit dem GKV-Spitzenverband und sozialen oder familiären Problemen beinhalteten und dem Bundesministerium für Gesundheit (BMG) noch unzulässigen Druck auf arbeitsunfähige Versicherte immer kein Konsens über den Umfang der Datenerhe- ausübten (vgl. ebenfalls 29. TB, Nr. 7.15), hat der Ge- bungsbefugnisse der Krankenkassen vor der Beauftra- setzgeber reagiert. Nach § 275 Abs. 1b S. 3 SGB V dürfen gung des MD zur Prüfung der Arbeitsunfähigkeit erzielt Krankenkassen die oben genannten zulässigen Angaben werden konnte. Nunmehr hat der Gesetzgeber mit einer nach einer absehbaren Arbeitswiederaufnahme sowie Ergänzung des § 275 SGB V durch das am 20. Juli 2021 konkret bevorstehenden diagnostischen und therapeu- in Kraft getretene GVWG meine seit Jahren vertretene tischen Maßnahmen bei den Versicherten grundsätzlich restriktive Rechtsauffassung zu den Datenerhebungsbe- nur schriftlich oder elektronisch erheben. Eine telefoni- fugnissen der Krankenkassen bestätigt. sche Erhebung ist nur zulässig, wenn die Versicherten in Der neu eingefügte Abs. 1b konkretisiert die Datenerhe- die telefonische Erhebung zuvor schriftlich oder elektro- bungsbefugnisse im Vorfeld einer MD-Beauftragung und nisch eingewilligt haben. Die Krankenkassen haben jede beschränkt sie durch eine abschließende Aufzählung. So telefonische Erhebung beim Versicherten zu protokollie- dürfen Krankenkassen für den Zweck der Feststellung, ren. Hierauf und insbesondere auf das Auskunftsrecht ob bei Arbeitsunfähigkeit eine gutachtliche Stellung- nach Art. 15 DSGVO sind die Versicherten hinzuweisen. nahme des MD einzuholen ist, im jeweils erforderlichen Ich begrüße die gesetzlichen Klarstellungen ausdrück- Umfang grundsätzlich nur die bereits nach § 284 Abs. 1 lich und werde im kommenden Berichtszeitraum mein SGB V rechtmäßig erhobenen und damit bereits vorlie- Augenmerk auf die gesetzeskonforme Umsetzung der genden versichertenbezogenen Daten verarbeiten. Sollte Vorgaben durch die Krankenkassen richten. die Verarbeitung bereits bei den Krankenkassen vorhan- dener Daten für die Beurteilung, ob der MD zur Prüfung Querverweise: der Arbeitsunfähigkeit eingeschaltet werden soll, nicht 6.6 Modellvorhaben Genomsequenzierung ausreichen, dürfen die Krankenkassen gemäß § 275 Abs. 1b S. 2 SGB V abweichend vom oben Ausgeführten bei den Versicherten nur versichertenbezogene Angaben 54 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p54-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 55,
"content": "6 Einzelthemen 6.1 Elektronische Patientenakte dar, sowie einen Verstoß gegen Art. 25 Abs. 1 DSGVO, wonach der Verantwortliche unter Berücksichtigung Krankenkassen klagen gegen von mir verhängte daten- unter anderem des Stands der Technik geeignete schutzaufsichtsrechtliche Maßnahmen zur Durchset- technische und organisatorische Maßnahmen treffen zung einer europarechtskonformen Ausgestaltung der muss. Diese müssen dafür ausgelegt sein, die genannten elektronischen Patientenakte (ePA) und damit gegen Verarbeitungsgrundsätze wirksam umzusetzen und die gleiche Rechte für alle Versicherten. notwendigen Garantien in die Verarbeitung aufzuneh- In meinem 29. Tätigkeitsbericht (TB) (Nr. 4.2) hatte ich men, um den Anforderungen der DSGVO zu genügen über die europarechtswidrige Ausgestaltung der ePA auf und die Rechte der betroffenen Person zu schützen. Grundlage des Patientendaten-Schutz-Gesetzes (PDSG) Nachdem die von mir im November 2020 gegenüber den berichtet. Insbesondere das Zugriffsmanagement ist mit meiner Datenschutzaufsicht unterliegenden gesetzli- europarechtlichen Vorgaben nicht vereinbar. Die nati- chen Krankenkassen ausgesprochene Warnung (vgl. onalen gesetzlichen Vorgaben sehen vor, dass Zugriffe ebenfalls 29. TB, Nr. 4.2) keine Änderung herbeigeführt nur nach dem „Alles-oder –Nichts-Prinzip“ möglich sind. hat, habe ich das angekündigte datenschutzaufsichts- Erst ab dem 1. Januar 2022 kann die Benutzergruppe, die rechtliche Maßnahmeverfahren vorangetrieben und im über ein geeignetes mobiles Endgerät verfügt, feingra- September 2021 fünf große gesetzliche Krankenkassen nular , d. h. dokumentenspezifisch Zugriffe erteilen. Die gemäß Art. 58 Abs. 2 lit. d) DSGVO angewiesen: Versicherten, die kein eigenes geeignetes Gerät besitzen oder keines nutzen wollen, werden hiervon nicht erfasst. 1. Das Zugriffsmanagement der ePA so auszugestal- Sie können lediglich beim Leistungserbringer, z. B. in der ten, dass Versicherte eine Einwilligung gegenüber ärztlichen Praxis, auf Kategorien von Dokumenten be- Zugriffsberechtigten nach § 352 SGB V in den Zugriff schränkte Zugriffsrechte erteilen oder einem Dritten mit sowohl auf spezifische Dokumente und Datensätze einem geeigneten technischen Gerät Vertretungsrechte als auch auf Gruppen von Dokumenten und Daten- einräumen, müssen dabei aber dieser Person gegenüber sätzen der ePA barrierefrei erteilen („ feingranulares alle Daten offenlegen. Außerdem werden diejenigen, Zugriffsmanagement“ ) können. Dies kann für Ver- die weder ein geeignetes Endgerät nutzen können oder sicherte, die keine Benutzeroberfläche eines geeig- wollen, noch die Vertreterlösung für sich in Anspruch neten Endgeräts verwenden (Frontend-Nichtnutzer), nehmen möchten, auf Dauer auch keinen Einblick in insbesondere mittels der dezentralen Infrastruktur ihre eigene, von ihnen selbst zu führende ePA haben. der Leistungserbringer oder durch sonstige tech- nische Einrichtungen bei den Leistungserbringern Diese gesetzlichen Vorgaben beschneiden die Souve- bzw. in ihren Geschäftsräumen oder in Kooperation ränität der Versicherten empfindlich und stellen einen mit anderen Krankenkassen oder Stellen erfüllt wer- Verstoß gegen die für die Verarbeitung personenbezoge- den. ner Daten geltenden Grundsätze der 2. Das Zugriffsmanagement der ePA so auszugestal- →→ Rechtmäßigkeit, Verarbeitung nach Treu und Glau- ten, dass auch Frontend-Nichtnutzer auch ohne die ben, Transparenz (Art. 5 Abs. 1 lit. a) DSGVO), Bestellung eines Vertreters in die sie betreffenden →→ Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO), personenbezogenen Daten (sowohl Dokumente und Datensätze der ePA als auch Protokolldaten) Einblick →→ Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO, nehmen können. Dies kann ebenfalls insbesondere →→ Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) mittels der dezentralen Infrastruktur der Leistungs- DSGVO) erbringer oder durch sonstige technische Einrich Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 55",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p55-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 56,
"content": "tungen bei den Leistungserbringern bzw. in ihren Geschäftsraumen oder in Kooperation mit anderen 6.2 Datenstrategie der Krankenkassen oder Stellen erfüllt werden. Bundesregierung 3. Für Versicherte, die die Benutzeroberfläche eines Die Bundesregierung hat 2021 eine Datenstrategie vor- geeigneten Endgeräts verwenden (Frontend-Nutzer), gelegt, in der sie ihre Maßnahmen zur Förderung der hat die Umsetzung der Ziffer 1 bis zum 31. Dezember Digitalwirtschaft bündelt. Dabei sollten auch Weiterent- 2021, spätestens jedoch innerhalb von einem Monat wicklungen beim Datenschutz berücksichtigt werden. nach Rechtskraft eines etwaigen abschließenden Urteils zu erfolgen. Die Bundesregierung hat Anfang 2021 eine sog. Da- tenstrategie beschlossen. Sie ist damit dem Vorbild der 4. Für Frontend-Nichtnutzer hat die Umsetzung der Europäischen Kommission gefolgt, die bereits zum 19. Ziffern 1 und 2 binnen eines Jahres zu erfolgen. Februar 2020 die maßgebende EU-Datenstrategie vorge- Gegen diese Anweisungen haben die adressierten Kran- legt hat (vgl. COM(2020) 66 final). Im Mittelpunkt der na- kenkassen Klage erhoben. tionalen Datenstrategie (als auch der EU-Datenstrategie) 56 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p56-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 57,
"content": "stehen Maßnahmen zur Förderung einer europäischen arbeitungsstandard aus Big Data in Kombination mit Digitalwirtschaft. Ein übergreifendes Ziel ist dabei die KI-Anwendungen. Die mit dem Massendatenaustausch Sicherung der digitalen Souveränität. verbundenen individuellen als auch überindividuellen Risiken (z. B. Abschaffung der Anonymität öffentlich Sowohl das Bundeskanzleramt (BKAmt) als auch der zugänglicher Räume; flächendeckend zur Anwendung Deutsche Bundestag haben mir Gelegenheit zur Stel- kommende statistische Vor-Urteile) bedürfen jedenfalls lungnahme gegeben. Ich habe die Bemühungen der weiterer Untersuchung und auch gesetzlicher Anstren- Bundesregierung begrüßt und zugleich Verbesserungen gungen sowie der Stärkung der Aufsichtsinstrumente. eingefordert. Strategien zu erstellen bedeutet, klare Zweifelhaft erscheinen jedenfalls Ansätze, bei denen Ziele zu definieren und einen übergeordneten Plan zu allein auf die Marktgängigkeit bestehender datenschutz- entwickeln. rechtlicher Konzepte wie der Einwilligung oder der Laut Datenstrategie soll die innovative und verantwor- Pseudonymisierung hingewirkt wird. Und auch vielver- tungsvolle Datenbereitstellung und Datennutzung in sprechende neue Konzepte wie die sog. Datentreuhand Deutschland und Europa signifikant erhöht werden – in (Datenmittler) bedürfen noch der weiteren Konkretisie- der Wirtschaft und Wissenschaft, in der gemeinwohlbe- rung, bevor ihre Vereinbarkeit mit Datenschutzvorgaben zogenen Forschung sowie in der Zivilgesellschaft und in besser beurteilt werden kann. der Verwaltung. Gleichzeitig soll auf Basis europäischer Querverweise: Werte eine gerechte Teilhabe gesichert, Datenmonopole verhindert und zugleich Datenmissbrauch konsequent 5.9 EU Digitalgesetzgebung begegnet werden. Diese Zielsetzungen erscheinen mir, auch angesichts des klaren Bekenntnisses zur europäi- schen Datenschutz-Grundverordnung (DSGVO), weiter- 6.3 Kooperation zwischen hin sachgerecht. Ein interessantes Anwendungsbeispiel Kartell- und Datenschutzaufsichts für diese Bemühungen stellt etwa bereits das Projekt Gaia-X zum Aufbau einer sicheren und vertrauenswürdi- behörden gen europäischen Infrastruktur für das Pooling und das Die schnell fortschreitende Digitalisierung mit ihren Teilen von Daten dar. Die frühe Veröffentlichung einer immer größeren Auswirkungen bietet viele neue Mög- Datenstrategie und eine transparente Vorgehensweise lichkeiten, aber auch Risiken, denen es zu begegnen ermöglichen den Bürgerinnen und Bürgern und auch gilt. Dem Datenschutz- und Kartellrecht kommt hierbei mir in meiner Aufsichtsfunktion, besser nachzuvollzie- im Rahmen der Regulierung eine ganz besondere Rolle hen, welche Auswirkungen digitalpolitische Planungen zu. Für eine effiziente und konsequente Durchsetzung für den Datenschutz nach sich ziehen können. der bestehenden Regelungen ist eine Kooperation der Gleichwohl habe ich in einer Reihe von Punkten Kritik Behörden unabdingbar. geübt. Denn insgesamt hat die Datenstrategie trotz eini- Die Marktaktivitäten insbesondere der internationalen ger verbaler Bekenntnisse auch zum Datenschutz wenig Großunternehmen der Internetwirtschaft zeigen uns, Konkretes oder Neues vorgeschlagen. Verwiesen wurde wie durch die Digitalisierung mehr und mehr das ge- stattdessen auf eine große Anzahl bereits laufender sellschaftliche und wirtschaftliche Leben durchdrungen Vorhaben. Vermisst habe ich eine Einordnung und Ver- und geprägt wird. Was vor nicht allzu langer Zeit mög- einbarkeit des datenökonomischen Vokabulars (so etwa licherweise noch als undenkbar erschien, ist vielfach das Datenteilen, die verantwortungsvolle Datennutzung zur Gewohnheit geworden. Dies zeigt Chancen auf, die und der Datenzugang) mit den datenschutzrechtlichen Risiken, die damit verbunden sind, dürfen aber nicht Schutzkonzepten. Dementsprechend kommt es, auch in vernachlässigt, sondern müssen stets mit in den Blick den auf Grundlage der EU-Datenstrategie geschaffenen genommen werden. Datengetriebene Geschäftsmodelle europäischen Gesetzesvorhaben (DGA, DSA), zu zwei- der Unternehmen mit ihrer immanenten Verarbeitung deutigen Formulierungen, bei denen nicht klar wird, ob personenbezogener Daten erhöhen die Risiken ihrer Datenschutz gilt, oder ob ausschließlich Verarbeitungen Marktmacht und stellen eine Gefährdung des infor- nicht-personenbezogener Daten geregelt werden. Bei mationellen Selbstbestimmungsrechts jeder einzelnen den Anonymisierungsverfahren, die für den Datenaus- Person dar. tausch etwa zwischen Unternehmen eine große Rolle spielen könnten, werden die Re-Identifizierungsrisiken Mit seinem in 2019 eingeleiteten Verfahren gegen Face- nicht adressiert. Und übergreifend fehlt es letztlich an book hat das Bundeskartellamt (BKartA) dieses Span- einer datenschutzrechtlichen Einordnung der geplan- nungsfeld erstmals wettbewerbsrechtlich aufgegriffen ten Datenökonomie im Hinblick auf den neuen Ver und Facebook untersagt, personenbezogene Daten u. a. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 57",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p57-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 58,
"content": "seiner Töchter WhatsApp und Instagram ohne daten- igitalisierungsgesetz) ermöglicht es, dass missbräuch- schutzrechtlich wirksame Einwilligung zusammen zu liche Geschäftspraktiken, die vielfach auch mit daten- führen. Ich habe dieses Verfahren von Anfang an eng schutzrechtlichen Vorgaben nicht in Einklang stehen, begleitet und bei Datenschutzfragen unterstützt. Auch schnell und effektiv geahndet werden können. So stellt meine Kolleginnen und Kollegen im Europäischen das GWB nun beispielsweise klar, dass die Verweigerung Datenschutzausschuss (EDSA) habe ich hierzu regelmä- des Zugangs zu wettbewerbsrelevanten Daten ein verbo- ßig unterrichtet. Inzwischen hat das Oberlandesgericht tenes Verhalten von marktbeherrschenden Unterneh- (OLG) Düsseldorf dem Europäischen Gerichtshof (EuGH) men begründen kann. In diesem Zusammenhang ist Auslegungsfragen zur Datenschutz-Grundverordnung aber unbedingt zu beachten, dass neben dem wettbe- (DSGVO) vorgelegt, u. a. auch zum Verhältnis der Da- werblichen Zugangsrecht auch die datenschutzrechtli- tenschutz- und Kartellaufsicht. Ich bin der Auffassung, chen Voraussetzungen für die Verarbeitung der Daten dass es hier keinen künstlichen Vorrang eines Aufsichts- gegeben sein müssen. Daneben hat das BKartA auch bereichs geben kann. Vielmehr sollten diese Fragen im zusätzliche Kompetenzen erhalten, um die Marktrele- Fokus aller zuständigen Aufsichtsbehörden stehen und vanz großer Technologieunternehmen prüfen zu können über einen regelmäßigen Austausch eine einheitliche und hat dazu bereits eine Reihe von Untersuchungen Aufsichtspraxis ermöglicht werden. eingeleitet, bei denen Datenverarbeitungen ebenfalls Die 2021 in Deutschland in Kraft getretene Novelle des eine zentrale Rolle spielen. Die mit § 50f GWB neu einge- Gesetzes gegen Wettbewerbsbeschränkungen (GWB-D führte Rechtsgrundlage für den Datenaustausch und die 58 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p58-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 59,
"content": "Kooperation zwischen den Wettbewerbs-, Verbraucher- 6.4 Neustart des Forschungsdaten schutz- und Datenschutzbehörden ist hier ein wichtiges zentrums beim Bundesinstitut für Instrument, das das BKartA und ich erfolgreich nutzen. Arzneimittel und Medizinprodukte Im Rahmen der Kooperation zwischen Kartell- und Datenschutzaufsichtsbehörden nimmt Deutschland Damit die Daten der Krankenkassen und aus den elek- dadurch eine Art Vorreiterrolle ein, die es aber auch auf tronischen Patientenakten datenschutzkonform zum europäischer und internationaler Ebene umzusetzen Forschungsdatenzentrum gelangen, müssen eine Fülle gilt. Ich setze mich deshalb mit Nachdruck dafür ein, technischer Festlegungen getroffen werden, darunter auch in dem auf europäischer Ebene zurzeit verhandel- das Verfahren, nach dem die Vertrauensstelle die Pseu- ten Digital Markets Act (DMA) eine solche Kooperation donymisierung dieser Daten durchführt. zu ermöglichen. Zudem begleite ich sowohl die Aktivi- Nach den Regelungen der §§ 303 a ff. SGB V und der täten zur Förderung einer stärkeren Zusammenarbeit Datentransparenzverordnung (DaTraV) laufen die Ab- zwischen Kartell- und Datenschutzaufsichtsbehörden rechnungsdaten der Krankenkassen pseudonymisiert im Rahmen der Global Privacy Assembly (GPA), als auch im Forschungsdatenzentrum (FDZ) beim Bundesins- beim Austausch der Datenschutzbehörden der G7-Staa- titut für Arzneimittel und Medizinprodukte (BfArM) ten aktiv, um die anderen Aufsichtsbehörden zu einer zusammen, wo sie u. a. zu Forschungszwecken genutzt entsprechenden Kooperation weiter zu ermutigen. werden können. Mit der inhaltlichen Erweiterung Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 59",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p59-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 60,
"content": "der seit 2012 bestehenden Vorschriften und mit der 6.5 Nutzung der Kranken zur Umsetzung erlassenen Verordnung habe ich mich versichertennummer in der bereits in den letzten Jahren befasst (28. TB Nr. 5.6; 29. TB Nr. 5.7). Nach den Regelungen aus dem Patienten- Telematikinfrastruktur daten-Schutz-Gesetz (PDSG) können ab dem Jahr 2023 Die Verwendung der Krankenversichertennummer zudem Daten aus der elektronischen Patientenakte (ePA) (KVNR) zur eindeutigen Identifizierung der Versicher- für das Forschungsdatenzentrum freigegeben werden ten bei verschiedenen Anwendungen innerhalb der (nach § 363 Abs. 1 bis 7 SGB V; 29. TB Nr. 4.2). Telematikinfrastruktur (TI), wie z. B. dem TI-Messen- Im Berichtszeitraum ging es um die technische Umset- ger, stellt eine datenschutzfreundliche Lösung dar. zung dieser Vorschriften. Beteiligt waren neben dem Möglich ist dies jedoch nur auf Basis einer eindeutigen BfArM als „Registerstelle“ das Robert Koch-Institut (RKI) Rechtsgrundlage. als Vertrauensstelle, die gematik GmbH als Verantwort- Mit dem am 9. Juni 2021 in Kraft getretenen Gesetz zur liche für die Übermittlung durch die Telematikinfra- digitalen Modernisierung von Versorgung und Pflege struktur (TI) und das Bundesministerium für Gesundheit (Digitale-Versorgung-und-Pflege-Modernisierungsge- (BMG) selbst. Ein Schwerpunkt war neben dem Hosting setz – DVPMG) wurde u. a. die Rechtsgrundlage für die des FDZ auch die sachgerechte Bildung des sog. perio- Implementierung eines Messenger-Dienstes für die denübergreifenden Pseudonyms (PüP). Dieses PüP wird Kommunikation zwischen Versicherten und Leistungs- von der Vertrauensstelle gebildet und dient zur Zuord- erbringern innerhalb der TI geschaffen (§ 342 Abs. 2 Nr. nung der Krankenkassendaten über Jahre hinweg. Auch 4 SGB V). Die gematik GmbH wurde mit der Entwicklung musste für die Daten aus der ePA ein Verfahren entwi- dieses TI-Messengers („TIM“) beauftragt. Erforderlich ckelt werden, welches eine Zuordnung zum gleichen ist dabei die Implementierung eines Verfahrens zur periodenübergreifenden Pseudonym sicherstellt. Für eindeutigen Adressierung der Versicherten. Gespräche die Erzeugung des Übermittlungs-Pseudonyms soll ein zwischen BfDI, Bundesgesundheitsministerium (BMG) asymmetrisches kryptografisches Verfahren eingesetzt und gematik führten zu dem einvernehmlichen Er- werden. Bzgl. der Daten aus der ePA verwendet das gebnis, dass die datenschutzfreundlichste Lösung die Verfahren einen Public Key des RKI, der in der ePA-App Errechnung einer nicht rückrechenbaren Matrix-Ad- liegt, und eine Arbeitsnummer, um die Daten zunächst resse aus der Krankenversichertennummer (KVNR) verschlüsselt an die Vertrauensstelle zu leiten. Für die wäre. Die alternative Schaffung eines Verzeichnisses Freigabe aus der ePA war zudem festzulegen, wo die aller teilnehmenden Versicherten würde die größeren Einwilligung dokumentiert und die Freigabe auch dem Datenschutzrisiken bergen. Dieses Ergebnis entspricht Umfang nach protokolliert wird. Zudem war sicherzu- auch der Gesetzesbegründung zu § 342 Abs. 2 Nr. 4 SGB stellen, dass im Falle des Widerrufs der Einwilligung die V, welche die Erstellung eines neuen Versichertenver- Daten unverzüglich gelöscht werden. Das Thema FDZ zeichnisses ausschließt und stattdessen die Nutzung ei- wird mich auch im kommenden Jahr weiter begleiten, nes Pseudonyms aus der KVNR vorschlägt. Auch andere wo ich mich mit der konkreten Ausgestaltung einer Da- Anwendungen innerhalb der TI, wie die elektronische tenweitergabe aus der ePA an die Forschung in Form von Patientenakte oder das e-Rezept, nutzen die KVNR zur Medizinischen Informationsobjekten (MIO) beschäftigen Versichertenidentifizierung. werde. Datenschutzrechtlich zulässig ist die Verarbeitung aber nur auf Grundlage einer eindeutigen gesetzlichen Befug- nisnorm, die gegenwärtig nicht vorliegt. Insbesondere lässt sich die Verarbeitung der KVNR durch die Leis- tungserbringer im Rahmen einer freiwilligen Anwen- dung der TI unter keine der in § 18 SGB IV – die Norm regelt die Zulässigkeit der Verarbeitung der Versiche- rungsnummer – aufgeführten Fallgruppen subsumieren. Auch das SGB V sieht keine spezialgesetzliche Regelung für die Verwendung der KVNR zu den beschriebenen Zwecken vor. Zur Herstellung eines rechtskonformen und – sicheren Zustands ist die Schaffung einer eindeutigen Rechts- grundlage für die Verarbeitung der KVNR innerhalb der TI zwingend erforderlich. Da die Möglichkeiten zur 60 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p60-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 61,
"content": "Identifikation der Versicherten jedoch keine Alterna- 6.6 Modellvorhaben tiven im Hinblick auf die Datenschutzfreundlichkeit Genomsequenzierung darstellen, habe ich dem BMG mitgeteilt, dass ich den gegenwärtigen Zustand zunächst dulde, im Gegenzug Im „Hau-Ruck-Verfahren“ wird der Forschung eine aber erwarte, dass zum nächstmöglichen Zeitpunkt eine zusätzliche Datenquelle erschlossen, fachliche und entsprechende Rechtsgrundlage geschaffen wird. datenschutzrechtliche Belange blieben zugunsten einer schnellen Festlegung unberücksichtigt. Auch in einem anderen Punkt erweist sich die Verarbei- tung der KVNR im Zusammenhang mit Anwendungen Der von der Bundesregierung vorgelegte Entwurf eines der TI als problematisch. So sieht § 362 Abs. 1 SGB V vor, Gesetzes zur Weiterentwicklung der Gesundheitsver- dass die Unternehmen der Privaten Krankenversiche- sorgung (Gesundheitsversorgungsweiterentwicklungs- rung (PKV) sowie weitere Kostenträger künftig für ihre gesetz, GVWG) vom 1. Januar 2021 – noch ohne eine Versicherten den unveränderbaren Teil der KVNR nach § Regelung zur Genomsequenzierung – umfasste auf etwa 290 Abs. 1 S. 2 SGB V für die Nutzung der Anwendungen 170 Seiten in 15 Artikeln Änderungen in verschiedensten der TI sowie für die Meldungen nach dem Implantatere- Gesetzen; allein in Artikel 1 für das SGB V immerhin 72 gistergesetz (IRegG) verwenden. Dazu müssen die KVNR Nummern mit Änderungsvorschlägen zu unterschied- vorab durch die Vertrauensstelle gem. § 290 Abs. 2 S. 2 lichen Paragrafen. Hierzu gab es im März 2021 bereits SGB V gebildet werden. Um eine Doppelvergabe auszu- im parlamentarischen Beratungsverfahren ergänzende schließen, wird im Vergabeverfahren überprüft, ob für Änderungsanträge mit einem Umfang von 88 Seiten. den jeweiligen Versicherten bereits eine KVNR vergeben Hierunter befand sich in Änderungsantrag 3 der Entwurf wurde. Hierfür ist in der „Richtlinie zum Aufbau und eines neuen § 64 d SGB V zum „Modellvorhaben Genom- zur Vergabe einer Krankenversichertennummer und sequenzierung“. Die Regelung sollte den Versicherten in Regelungen des Krankenversichertennummernverzeich- der gesetzlichen Krankenversicherung bei seltenen und nisses nach § 290 SGB V“ ein sog. Clearing-Verfahren bei onkologischen Erkrankungen einen Anspruch auf zwischen den Krankenkassen vorgesehen. Dabei werden personalisierte Medizin geben. Das bedeutet, es soll mit- versichertenbezogene Daten wie die KVNR, die Renten- tels Genomsequenzierung Diagnostik und Therapiefin- versicherungsnummer, Name, Vorname(n), Geschlecht, dung vorgenommen werden. Wesentlicher Regelungsin- Geburtsdatum und Geburtsort zwischen den Kranken- halt war weiter das Errichten einer sog. „gemeinsamen kassen ausgetauscht. Dateninfrastruktur“, in der Genomdaten gespeichert und genutzt werden können. Leider fehlte es der Formu- Wenn die PKV und die weiteren in § 362 SGB V genann- lierung in vielerlei Hinsicht an Gehalt und Konkretisie- ten Kostenträger zukünftig die KVNR für die Teilhabe rung, worauf ich mit Stellungnahme vom 29. März 2021 ihrer Versicherten an Anwendungen der TI nutzen, ist hinwies. Wesentliche Punkte waren nicht Gegenstand ihre Einbeziehung in das Clearing-Verfahren erforder- der Regelung: es fehlte an Vorgaben zu Trägerschaft und lich. Jedoch fehlt es auch hierfür an einer eindeutigen Aufbau der Dateninfrastruktur, zur datenschutzrechtli- Rechtsgrundlage. Diese Einschätzung teilt das BMG und chen Verantwortung, zur Ausgestaltung der Verfahren hat mir zugesichert, eine entsprechende Befugnisnorm u. a. zur Datennutzung und zu Zuständigkeiten. Ebenso in das nächste geeignete Gesetzgebungsverfahren ein- fehlten Regelungen zur Datensicherheit und zum Ver- zubringen. Ein Diskussionsentwurf liegt mir bereits vor, hältnis zum Gendiagnostikgesetz. der nunmehr der Abstimmung zwischen BMG, BMJ und mir bedarf. Aufgrund der zeitlichen Enge – die Sitzung des Gesund- heitsausschusses stand an, ohne dass auf die eklatanten Querverweise: Mängel reagiert und nachjustiert worden wäre – adres- 5.10 Entwicklungen bei Gesundheitsregistern, 6.1 Elekt- sierte ich am 9. April 2021 ein Schreiben unmittelbar ronische Patientenakte an den Ausschuss für Gesundheit des Bundestages. Es zählte im Einzelnen die fehlenden Regelungen auf und endete mit der Empfehlung, das Vorhaben zurückzustel- len, um eine fachlich und rechtlich vollständige Rege- lung zu ermöglichen. Entgegen meiner Empfehlung wurde die Regelung des Modellvorhabens nicht zurückgestellt. Eine kurzzeitig vorgelegte überarbeitete Fassung enthielt dann Vorga- ben zu Datenflüssen, einer Vertrauensstelle und einem Antragsverfahren für den Datenzugang, die sich an den Regelungen der §§ 303a ff SGB V für das Forschung Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 61",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p61-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 62,
"content": "sdatenzentrum beim Bundesinstitut für Arzneimittel Probenmaterial an die chinesischen Labore weiterlei- und Medizinprodukte (BfArM) anlehnten. Eine weitere tet. Den Presseberichten folgend bestehen konkrete Überarbeitung vom 19. Mai 2021 berücksichtigte weitere Anhaltspunkte dafür, dass das chinesische Unternehmen von mir geltend gemachte relevante Punkte und traf die Proben auch für eigene Forschungsprojekte verwen- Festlegungen zu den Verantwortlichen für die Vertrau- det, die unter Umständen auch in Kooperation mit dem ensstelle – das Robert Koch-Institut (RKI) – und für die chinesischen Militär betrieben werden. Dateninfrastruktur – das BfArM. Abgesehen von der im Raum stehenden zweckwidrigen Der ursprüngliche zielführende Ansatz einer verteilten Nutzung der Daten, die per se unzulässig wäre, ist auch Dateninfrastruktur blieb bei diesem gedrängten Verfah- eine Übermittlung personenbezogener Daten in Dritt- ren auf der Strecke. Dabei ist eine dezentrale Struktur staaten, für die keine Angemessenheitsentscheidung der „state of the art“. Ein jeweils anlassbezogener, partieller Europäischen Kommission vorliegt und ein ausreichen- Austausch oder Datenzugang reicht für die Zwecke des der Schutz der personenbezogenen Daten auch nicht auf Modellvorhabens aus und vermeidet eine durchge- andere Weise sichergestellt ist, unzulässig, gerade wenn hend doppelte Datenhaltung – wie nun beim BfArM. es um solche sensiblen Daten geht. Eine dezentrale Datenhaltung hat weitere Vorteile: Sie Der Hessische Datenschutzbeauftragte, der die daten- entspricht dem Prinzip der Datenminimierung und er- schutzrechtliche Aufsicht über das o. a. Labor führt, leichtert auch in technischer Hinsicht die Erfüllung der prüft derzeit die Datenschutzkonformität. Dabei wurde Anforderungen an die Datensicherheit. mit dem Unternehmen vereinbart, bis zum Abschluss Es besteht also weiterhin viel Potential für Verbesserun- der Prüfung keine weiteren Proben an das in Hongkong gen und ich hoffe, dass diese in der neu angelaufenen ansässige Labor zu übersenden. Legislaturperiode aufgegriffen werden. In der Zwischenzeit sind die NIPTs für die Anwendung bei Schwangerschaften mit besonderen Risiken auf Ich empfehle, beim Modellvorhaben Genomsequenzie- Grundlage des Beschlusses des Gemeinsamen Bundes- rung den Aufbau der „gemeinsamen Dateninfrastruk- ausschusses vom 19. September 2019 zur Änderung der tur“ dezentral zu strukturieren und statt einer doppel- Mutterschafts-Richtlinien (BAnz AT 20. Dezember 2019 ten Datenhaltung jeweils anlassbezogene Datenzugänge B6) als Kassenleistung zugelassen worden. vorzusehen. Ich habe mich sowohl an den Gemeinsamen Bundes- ausschuss als auch an den Spitzenverband Bund der Querverweise: Krankenkassen (GKV-SV) gewandt und diese auf die bestehende Problematik hingewiesen. Gleichzeitig habe 5.11 Datenerhebungsbefugnisse der Krankenkassen im ich sie aufgefordert, Maßnahmen zu ergreifen, um Krankengeldfallmanagement hinsichtlich des Angebotes von NIPTs die Sicherheit der nach Art. 9 DSGVO besonders schützenswerten geneti- 6.7 Pränataltests in Hongkong schen Daten der Versicherten zu gewährleisten. Ich konnte zunächst erreichen, dass die Mutter- Die Durchführung von Pränataltests darf nicht aus Kos- schafts-Richtlinie um den Hinweis auf die Einhaltung tengründen an Labore in Drittstaaten ausgelagert wer- der datenschutzrechtlichen Vorgaben bei der Beauf- den, bei denen erhebliche Risiken im Hinblick auf die tragung von Laboren durch die Ärztinnen und Ärzte Einhaltung datenschutzrechtlicher Vorgaben bestehen. ergänzt wurde. Im Übrigen bleibt das Prüfergebnis des Im Berichtszeitraum ging aus internationalen Pressebe- Hessischen Datenschutzbeauftragten abzuwarten, aus richten (https://www.reuters.com/investigates/special-re- dem sich möglicherweise weiterer Handlungsbedarf port/health-china-bgi-dna) hervor, dass eine chinesi- auch für mich ergeben wird. sche Unternehmensgruppe Labore u. a. in Hongkong betreibt, die genetisches Probenmaterial untersuchen. Beauftragt werden sie in einem nicht unerheblichen Maße – ausschlaggebend ist dafür vor allem der Kosten- faktor – auch von deutschen Leistungserbringern mit der Auswertung von nicht invasiven pränatalen Bluttest (NIPT), die von Schwangeren in Anspruch genommen werden. So ist mir bekannt, dass ein solcher Pränatal- test in Deutschland durch ein Unternehmen mit Sitz in Hessen angeboten wird, welches das gewonnene 62 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p62-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 63,
"content": "6.8 Umsetzung des Diagnose- 6.9 Erstattungsfähige Digitale Korrektur-Anspruch § 305 SGB V Gesundheitsanwendungen Nach anfänglichen Schwierigkeiten ist die Umsetzung Für erstattungsfähige digitale Gesundheitsanwendun- des neugeregelten Diagnose-Korrekturanspruchs bei gen ist es zukünftig nicht mehr ausreichend, lediglich den gesetzlichen Krankenkassen gelungen. eine Selbsterklärung der Hersteller zur Datenschutz- konformität vorzulegen, sondern dieses muss durch ein In meinem 29. Tätigkeitsbericht (Nr. 7.14) hatte ich über Zertifikat nachgewiesen werden. die Ergänzung des § 305 Abs. 1 SGB V berichtet, die den Versicherten auch auf nationaler Ebene zur Durchset- Das Bundesinstitut für Arzneimittel und Medizinproduk- zung ihres durch Art. 16 DSGVO garantierten Rechts te (BfArM) führt gemäß § 139e Abs. 1 SGB V ein Ver- auf Berichtigung mittels eines Diagnose-Korrektur-An- zeichnis erstattungsfähiger digitaler Gesundheitsanwen- spruchs gegenüber ihrer Krankenkasse verhelfen sollte. dungen (DiGA) nach § 33a SGB V und entscheidet über Zu Beginn dieses Berichtszeitraums erreichten mich die Anträge der DiGA-Hersteller zur Aufnahme in das noch Beschwerden von Versicherten, deren Kranken- Verzeichnis. Die Hersteller digitaler Gesundheitsanwen- kassen ihren Anspruch auf Korrektur der Diagnosedaten dungen weisen derzeit die Erfüllung der datenschutz- trotz Vorliegens der formalen Voraussetzungen (Beleg rechtlichen Anforderungen gemäß § 139e Abs. 2 S. 2 Nr. der Unrichtigkeit durch einen ärztlichen Nachweis) nicht 2 SGB V unter Verwendung einer Selbsterklärung nach innerhalb der gesetzlich vorgesehenen Frist von vier Anlage 1 zur Digitale Gesundheitsanwendungen-Verord- Wochen beschieden haben. Nach Darstellung einzelner nung (DiGAV) nach. Krankenkassen lag die Verzögerung an der komplexen Dieses Verfahren ist jedoch aus datenschutzrechtlicher technischen Umsetzung der gesetzlichen Vorgaben, Sicht unzureichend, da allein aufgrund einer Herstel- die einer gewissen Vorlaufzeit bedurften, die aber das lererklärung die Einhaltung der datenschutzrechtlichen Gesetz nicht einräumte. Vorgaben nicht sicher anzunehmen ist. Diesbezüglich Die Argumentation der Krankenkassen war für mich habe ich mich im Rahmen des Gesetzgebungsverfahrens nachvollziehbar, so dass ich zunächst von datenschut- zum Digitale–Versorgung–und–Pflege–Modernisie- zaufsichtsrechtlichen Maßnahmen bei nicht fristge- rungs–Gesetz (DVPMG) erfolgreich dafür eingesetzt, eine rechter Diagnosekorrektur abgesehen und Übergangs- Änderung hinsichtlich des Nachweises zu erreichen. lösungen – etwa als Hinweis an die Versicherten, dass Zum 1. April 2023 erfolgt eine Ablösung der bisherigen die ärztliche Bestätigung der unrichtigen Diagnose bis Praxis der Selbsterklärung und wird fortan durch eine zur vollständigen technischen Umsetzung des Korrek- Nachweisführung mittels eines Datenschutzzertifikats turanspruchs der schon abgerufenen (fehlerhaften) nach § 42 DSGVO ersetzt. Patientenquittung hinzugefügt werden kann und beide Dokumente vorerst als Gesamtdokumentation an Dritte Mit der im Rahmen des DVPMG novellierten Regelung (z. B. Versicherungen) übermittelt werden können – des § 139e Abs. 11 SGB V ist das BfArM im Hinblick auf akzeptiert habe. das Datenschutzzertifikat beauftragt, im Einvernehmen mit mir sowie im Benehmen mit dem Bundesamt für Si- Im dritten Quartal dieses Berichtsjahres haben mich cherheit in der Informationstechnik (BSI) Prüfkriterien keine weiteren Beschwerden erreicht. Ich gehe deshalb zu erarbeiten. Diese sollen die geltenden und abstrakten davon aus, dass die technische Umsetzung des Diag- datenschutzrechtlichen Anforderungen der DSGVO und nose-Korrektur-Anspruchs erfolgreich abgeschlossen des § 4 DiGA-Verordnung in anwendungsgerechte Prü- wurde. Im Rahmen kommender Vor-Ort-Kontrollen bei fungspunkte übersetzen. Die Festlegung der Prüfkriteri- Krankenkassen werde ich dies überprüfen. en erfolgt dabei erstmalig bis zum 31. März 2022. Ich gehe davon aus, das Einvernehmen mit dem BfArM im ersten Quartal 2022 herstellen zu können. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 63",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p63-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 64,
"content": "6.10 Digitalisierung der befassten Organisationseinheiten der Bundesministe- öffentlichen Verwaltung rien Rechtstexte in einer einheitlichen und dem Hand- buch der Rechtsförmlichkeit entsprechenden Struktur Die Digitalisierung der öffentlichen Verwaltung bleibt anlegen. Diese Dokumente sollen dann auf der Plattform weiterhin ein vorrangiges Anliegen der Regierungsver- vom jeweils federführenden Ressort der Bundesre- antwortlichen in Bund und Ländern. Den selbst gesetz- gierung in die Ressortabstimmungsprozesse gegeben ten Umsetzungstermin bis zum 31. Dezember 2022 vor werden, an denen auch ich beteiligt werde. Augen forcieren sie ihre Aktivitäten, um Verwaltungs- Beim Betrieb dieser Plattform werden auch personenbe- leistungen auch elektronisch über ihre Portale den zogene Daten von Beschäftigten der beteiligten Behör- Bürgerinnen und Bürgern anbieten zu können. den verarbeitet. Die Projektverantwortlichen haben ei- Bundesportal und Nutzerkonto Bund nen iterativen Ansatz gewählt, bei dem bereits zu einem frühen Entwicklungszeitpunkt eine Version des Produkts Über das Verwaltungsportal des Bundes – kurz Bundes- mit eingeschränkten Funktionen zur Verfügung stand. portal – sind Verwaltungsleistungen insbesondere des In mehreren Veröffentlichungen pro Jahr wurden und Bundes, aber auch der Länder und Kommunen, sowohl werden die Funktionen erweitert. Dieses Vorgehen durch die Bürgerinnen und Bürger als auch durch machte eine engmaschige Datenschutzberatung not- Organisationen (z. B. Unternehmen) zu erreichen. Das wendig. Geplante Änderungen an den Verarbeitungspro- noch im Aufbau befindliche Bundesportal stand 2021 in zessen personenbezogener Daten mussten und müssen einer Basis-Version zur Verfügung, die sukzessive durch kurzfristig geprüft und bewertet werden, so dass sich die zuständige Stelle, das vormalige Bundesministerium auch hier ein kontinuierlicher, konstruktiver Austausch des Innern, für Bau und Heimat (BMI), ausgebaut und mit dem in diesem Projekt ebenfalls federführenden verbessert wurde. BMI etabliert hat. Schwerpunkte der Beratung waren Um sich für digitale Verwaltungsleistungen identifi- hinsichtlich der ersten Produktveröffentlichung im April zieren und authentifizieren zu können, wird ein Nut- 2021 die Frage der datenschutzrechtlichen Verantwort- zerkonto benötigt. Dieses wird vom Betreiber BMI auf lichkeit und für die Veröffentlichung der fortgeschrie- Bundesebene seit April 2021 nur noch in der Ausprägung benen Version im Oktober 2021 der Datenschutz durch als Bürgerkonto (Nutzerkonto Bund für natürliche Per- Voreinstellung (privacy by design) sowie eine Prüfung sonen) bereitgestellt. Gleichzeitig wurde die bisherige auf Verarbeitung besonderer Kategorien personenbezo- Komponente „Unternehmenskonto“ des Nutzerkontos gener Daten. Meine diesbezüglichen Hinweise wurden Bund abgeschaltet sowie bereits angelegte Unterneh- jeweils vom BMI aufgenommen und umgesetzt. menskonten gelöscht. Für juristische Personen, rechtsfä- Ebenfalls Teil der Dienstekonsolidierung ist die Maßnah- hige Vereinigungen, natürliche Personen in ihrer Funkti- me E-Scannen, bei der es um die Digitalisierung von Ein- on als Gewerbetreibende oder beruflich Selbständige gangsdokumenten und Bestandsakten geht. Hier berate oder für Behörden soll ein sog. einheitliches Organisati- ich den vom BMI im Juni 2021 etablierten Lenkungsaus- onskonto als Nutzerkonto eingeführt werden. schuss. Obwohl dieses Projekt noch am Anfang steht, Im Verlauf der bisherigen Entwicklung der Projekte kann ich bereits jetzt feststellen, dass sich auch hier ein Bundesportal und Nutzerkonto Bund einschließlich der konstruktiver Beratungsprozess anbahnt. geplanten Weiterentwicklungen und Optimierungen hat sich zwischen dem BMI und mir ein regelmäßiger und kontinuierlicher Austausch zu den damit verbundenen 6.11 Brexit – Datentransfer mit datenschutzrechtlichen Fragestellungen etabliert. Dies dem Vereinigten Königreich ist ein gutes Beispiel für eine „gelebte“ und wirkungsvol- le Beratung der Bundesregierung mit Vorbildcharakter Am 28. Juni 2021 nahm die Europäische Kommission für andere Projekte. die Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten an das Vereinigte Königreich E-Gesetzgebung und E-Scannen gemäß der Datenschutz-Grundverordnung (DSGVO) Das Projekt „Elektronisches Gesetzgebungsverfahren des und der Strafverfolgungsrichtlinie (JI-RL) an. Mit der Bundes“ (E-Gesetzgebung) ist Teil der Dienstekonsolidie- Anerkennung des angemessenen Datenschutzniveaus rung der Bundesregierung. Hier sollen Rechtsetzungs- bedürfen Datenübermittlungen aus dem Europäischen verfahren des Bundes auf einer einheitlichen IT-Basis so Wirtschaftsraum (EWR) in das Vereinigte Königreich, gestaltet werden, dass Abstimmungsprozesse medien- im Rahmen des Anwendungsbereichs der Beschlüsse, bruchfrei verlaufen können. Dazu wird eine gemeinsa- keiner besonderen Genehmigung durch die Daten- me Plattform entwickelt, auf der die mit Rechtsetzung schutz-Aufsichtsbehörden und müssen von keinen 64 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p64-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 65,
"content": "weiteren Schutzmaßnahmen aus Kapitel V der DSGVO 6.12 Outing von Asylbewerbern bzw. Kapitel V der JI-RL begleitet werden. Bei Daten zur sexuellen Orientierung handelt es sich Am 31. Dezember 2020 endete der Übergangszeitraum, um besondere Kategorien personenbezogener Daten, in dem das Vereinigte Königreich zwar bereits schon deren Verarbeitung auch im asylrechtlichen Kontext nicht mehr Mitglied der Europäischen Union (EU) problematisch ist. war, jedoch noch das Recht der EU und somit auch Ein Petent wandte sich in mehreren Fällen an mich und die DSGVO Anwendung fand. Zum 1. Mai 2021 trat das schilderte ein aus seiner Sicht erfolgtes Outing homose- Handels- und Kooperationsabkommen zwischen der EU xueller Asylbewerber bzw. unterstützender Personen im und dem Vereinigten Königreich in Kraft, das bereits seit Rahmen der Befragung von Zeugen durch sog. Vertrau- Jahresbeginn 2021 vorläufig angewendet wurde, um den ensanwälte in den Herkunftsländern der Asylbewerber. Zeitraum zwischen Auslaufen des Übergangszeitraums Im Rahmen des Asylverfahrens hat das Bundesamt für zum 31. Dezember 2020 und dem Inkrafttreten zum 1. Migration und Flüchtlinge (BAMF) von Amts wegen den Mai 2021 zu überbrücken. Auf dieser Grundlage konnten durch einen Asylbewerber vorgetragenen Sachverhalt zu personenbezogene Daten bis zum 30. April 2021 bzw. klären. Sofern keine eigenen Erkenntnisse über konkret verlängert bis zum 30. Juni 2021 weiterhin ohne beson- geschilderte Sachverhalte im Herkunftsland des Asyl- dere Schutzmaßnahmen in das Vereinigte Königreich bewerbers vorliegen und auch das Auswärtige Amt (AA) übermittelt werden, obwohl das Vereinigte Königreich hierzu keine Erkenntnisse hat, können sog. Vertrauens- mit dem Brexit seit dem 1. Januar 2021 als ein Drittland anwälte mit Ermittlungen beauftragt werden. Hierzu im Sinne der DSGVO anzusehen war. übermittelt das BAMF dem AA auf entsprechenden Parallel zur Übergangsfrist startete die Europäische Vordrucken den konkreten Sachverhalt und zu klärende Kommission am 19. Februar 2021 das Annahmeverfah- Fragestellungen. Im weiteren Verlauf beauftragt das AA ren für die Angemessenheitsbeschlüsse für das Vereinig- einen bei ihm unter Vertrag stehenden Anwalt im Her- te Königreich. Zu deren Entwürfen hat der Europäische kunftsland. Hierzu muss es den Sachverhalt und die zu Datenschutzausschuss (EDSA) in seiner Sitzung am klärenden Fragen an diesen übermitteln. Insbesondere 13. April 2021 zwei Stellungnahmen verabschiedet21. im Zusammenhang mit der sexuellen Orientierung von Am 28. Juni 2021 nahm die Europäische Kommission Asylbewerbern ist hierbei besondere Vorsicht geboten. beide Angemessenheitsbeschlüsse für die Übermittlung Eine Übermittlung von Daten an das AA und von diesem personenbezogener Daten an das Vereinigte König- an den Vertrauensanwalt darf nur im notwendigen reich gemäß der DSGVO und der JI-RL an22. Mit dieser Umfang erfolgen. Auch bei der Auswahl der Vertrauens- Anerkennung des angemessenen Datenschutzniveaus anwälte und deren Instruierung ist besondere Sorgfalt bedürfen Datenübermittlungen aus dem EWR an das geboten, um zu verhindern, dass eine Gefährdung der Vereinigte Königreich, im Rahmen des Anwendungsbe- Asylbewerber durch ein (unbeabsichtigtes) Outing oder reichs der Beschlüsse, keiner besonderen Genehmigung sie unterstützender Personen im Rahmen deren Ermitt- durch die Datenschutz-Aufsichtsbehörden und muss von lungen erfolgt. keinen weiteren Schutzmaßnahmen aus Kapitel V der DSGVO bzw. Kapitel V der JI-RL begleitet werden. Beide Angemessenheitsbeschlüsse haben eine Geltungsdauer bis zum 27. Juni 2025, sofern sie nicht vorher verlängert werden (vgl. oben 3.2.2.2). Die Prüfung, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für die entsprechende Datenverarbei- tung erfüllt sind, bleibt davon unabhängig erforderlich. Querverweise: 3.2.2.2 Schwerpunkt Drittlandübermittlung 21\t\u0007Stellungnahme des EDSA zum Entwurf Angemessenheitsbeschluss DSGVO: https://edpb.europa.eu/system/files/2021-04/edpb_opinion142021_ ukadequacy_gdpr.pdf_en.pdf \u0007Stellungnahme des EDSA zum Entwurf Angemessenheitsbeschluss JI-RL: https://edpb.europa.eu/system/files/2021-04/edpb_opinion152021_uka- dequacy_led_en.pdf 22\t\u0007Angemessenheitsbeschluss DSGVO: https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_ the_united_kingdom_-_general_data_protection_regulation_en.pdf \u0007Angemessenheitsbeschluss JI-RL: https://ec.europa.eu/info/sites/default/files/decision_on_the_adequate_protection_of_personal_data_by_the_ united_kingdom_law_enforcement_directive_en.pdf Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 65",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p65-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 66,
"content": "6.13 Handydatenauswertung 6.14 P 20 – Polizei 20/20: Der Weg durch Bundesamt für Migration zu einem gemeinsamen Datenhaus und Flüchtlinge rechtswidrig? Bis zu einem gemeinsamen „Datenhaus“ der Polizei- behörden des Bundes und der Länder ist es noch ein Das Verwaltungsgericht (VG) Berlin hat am 2. Juni 2021 weiter Weg. Um dieses Ziel zu erreichen, müssen nicht in erster Instanz über eine Klage gegen die Auswertung nur technische und strukturelle Hürden genommen, der Handydaten einer Asylsuchenden entschieden und sondern auch die datenschutzrechtlichen Leitplanken dieser stattgegeben. von Anfang an programmübergreifend und innerhalb § 15a Asylgesetz (AsylG) räumt dem Bundesamt für der rund 30 Teilprojekte beachtet werden. Migration und Flüchtlinge (BAMF) grundsätzlich die In den letzten Jahren habe ich immer wieder über das Befugnis ein, die Datenträger von Ausländern auszuwer- Projekt, das nunmehr in „P20 – Polizei 20/20“ umbe- ten. Voraussetzung ist jedoch, dass dies zur Feststellung nannt wurde, berichtet (vgl. 29. TB Nr. 6.1) und gegen- der Identität und Staatsangehörigkeit des Asylsuchenden über dem Bundesministerium des Innern, für Bau und erforderlich sein muss und das Ziel nicht durch mildere Heimat (BMI) deutlich gemacht, wie wichtig meine Mittel erreicht werden kann. regelmäßige Beteiligung bei der Entwicklung dieses Das BAMF liest die Handydaten von Asylsuchenden IT-Großprojekts ist. Zudem habe ich mehrfach um eine bereits zu einem sehr frühen Zeitpunkt aus. Bestimmte Auflistung sämtlicher Teilprojekte von P20 – Polizei20/20 Daten werden in einem sog. Ergebnisreport ausgewer- nebst Projektbeschreibungen gebeten, um mir über- tet. Dieser wird anschließend in einem Daten-Tresor haupt einen Überblick über den Umfang des Projekts gespeichert. Erst nach Begründung der Erforderlichkeit verschaffen zu können. wird dieser Report nach entsprechender Prüfung durch Beteiligung durch das BMI an P20 – Polizei 20/20 und einen Volljuristen zur weiteren Verwendung im Asylver- den Teilprojekten fahren freigegeben. Diese Praxis stellt das VG mit seiner Entscheidung in Frage. Vorliegend hätte das BAMF nach Die Information meiner Behörde zu dem Projekt P20 Auffassung des Gerichts statt der Auswertung des Han- – Polizei 20/20 hat sich verbessert. Das BMI hat mir im dys mildere Mittel, wie etwa die frühzeitig vorgelegten April 2021 eine Auflistung zur Verfügung gestellt, aus der Dokumente der Asylsuchenden, heranziehen können. hervorgeht, dass das Projekt derzeit ca. 30 Teilprojekte Ein Auslesen des Handys und das Speichern der Daten beinhaltet, die in unterschiedlichen Bundesländern und auf Vorrat sei dagegen unzulässig, entschied das VG. Da in unterschiedlicher Teilnehmerstärke teilweise schon die Erhebung der Daten rechtswidrig gewesen sei, hätte pilotiert werden. Darüber hinaus wurde ich im Vorfeld nach Auffassung des VG auch der Ergebnisreport nicht mit kurzer Frist zu den Vergabeverfahren zu einem ein- verwertet werden dürfen. Die Auffassung des VG deckt heitlichen Asservatenmanagementsystem (eAMS) und sich damit mit meiner Position. der elektronischen Akte in Strafsachen (EAS) beteiligt. Zu beiden Verfahren habe ich erste Stellungnahmen Das BAMF hat gegen das Urteil des VG Berlin Sprungre- abgegeben. vision beim Bundesverwaltungsgericht eingelegt. Die höchstrichterliche Entscheidung wird ggf. weitreichende Das BMI hat im Laufe des Jahres den Beratungsbedarf Konsequenzen für die künftige Praxis des BAMF haben offensichtlich erkannt und informiert mich seither quar- und wird daher nicht nur dort mit Spannung erwartet. talsweise über den aktuellen Sachstand des Gesamtpro- jekts. Zudem wurde ich zu einem Termin mit dem Com- In einem ähnlich gelagerten Fall hat eine betroffene petence Center Fachlichkeit (CCF) eingeladen. Darüber Person bei mir Datenschutzbeschwerde gegen die Aus- hinaus haben Termine mit der Kerngruppe Datenschutz, wertung seines Handys eingereicht. Über diese ist noch die im BMI angesiedelt ist und der AG INPOL (einer nicht entschieden. Arbeitsgruppe des Arbeitskreises Sicherheit der DSK) zu ausgewählten Themen stattgefunden. Es wurden bereits Workshops zur „hypothetischen Datenneuerhebung“ und zu dem Teilprojekt „Proof of Concept (PoC) Daten- konsolidierung“ durchgeführt. Weitere Workshops zu Themen der Zweckbindung, KI-Anwendungen, Identity & Access Management und WiPras (Wiederholungs- prognoseassistent) wurden mir in Aussicht gestellt. Ich begrüße ausdrücklich, dass mich das BMI nun stärker beteiligt. 66 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p66-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 67,
"content": "Teilprojekt Proof of Concept (PoC) Datenkonsolidie- Entwicklung des Gesamtprojekts rung Ein Entwicklungsschwerpunkt des letzten Jahres lag Mit dem Teilprojekt PoC Datenkonsolidierung soll ein noch deutlich im organisatorischen und koordinieren- weiteres Verbundsystem außerhalb des polizeilichen den Bereich der unterschiedlichen Gremien. Informationsverbundes nach dem Bundeskriminalamt- Inhaltlich hat das BMI deutlich gemacht, die Verein- gesetz (BKAG) entstehen (dazu bereits 29. TB Nr. 6.1). Im heitlichung der Fallbearbeitungssysteme (FBS) und der Unterschied zu dem polizeilichen Informationsverbund Vorgangsbearbeitungssysteme (VBS), Verbundsysteme sollen mit dem PoC Daten im niedrigschwelligen Bereich (INPOL und PIAV) sowie eines eAMSe vorrangig voran- zwischen den Polizeibehörden der Länder abgeglichen zutreiben. Dazu würden derzeit entsprechende Interims- und recherchiert werden können. Faktisch handelt lösungen entwickelt. Der Datenumfang bei den Polizeien es sich um einen zweiten – neben dem in § 29 BKAG des Bundes und der Länder ist äußerst umfangreich. Mit vorgesehenen – Informationsverbund, der aber die im Blick darauf und aufgrund der technischen Komplexi- Gesetz vorgesehenen Speicherschwellen unterschreitet. tät können die IT-Systeme nur schrittweise umgestellt Das Bundeskriminalamt (BKA) soll dabei als technischer werden, bevor die Daten perspektivisch im Datenhaus Dienstleister fungieren und die Länder als „Auftragsver- gespeichert werden können. Bis Ende des Jahres soll die arbeiter“ unterstützen. Konzeptionierungsphase für das „gemeinsame Daten- Ende des Jahres hat mir das BMI die Software vorge- haus“ vorangetrieben werden. Dreh- und Angelpunkt stellt. Obgleich sich das BMI im letzten Jahr für dieses des Datenhauses wird nach meiner Einschätzung in der Teilprojekt noch nicht verantwortlich sah, hat es mir präzisen Verteilung von Zugriffsrechten liegen, damit zwischenzeitlich mitgeteilt, der PoC sei in das Gesamt- der Grundsatz der Zweckbindung gewahrt und zwischen projekt P20 – Polizei 20/20 integriert worden. Meine den einzelnen polizeilichen Zwecken getrennt werden datenschutzrechtlichen Einwände habe ich von Anfang kann (vgl. unter Nr.11.5). Das BMI hat mir zum Teilpro- an (seit Anfang 2019) geltend gemacht und halte diese jekt Datenhaus eine frühzeitige Beteiligung zugesagt. auch weiterhin aufrecht. Weil ich die mit dem PoC be- In meinem letzten Tätigkeitsbericht (vgl. 29. TB Nr. 6.1) absichtigte Datenverarbeitung für datenschutzrechtlich habe ich mich zu der strategischen Komponente des po- unzulässig halte, habe ich im März 2021 gegenüber dem lizeilichen Informations- und Analyseverbundes (PIAV-S) BKA formell eine Warnung nach § 16 Abs. 2 S. 4 BDSG geäußert. PIAV-S soll den Informations- und Nachrich- ausgesprochen. Für die mit dem PoC geplante unterstüt- tenaustausch zwischen den Polizeien des Bundes und zende Tätigkeit des BKA als Auftragsverarbeiter der Län- der Länder erweitern. Zu dem Projekt sind meine da- der fehlt es an einer rechtlichen Grundlage. Außerdem tenschutzrechtlichen Bedenken noch nicht ausgeräumt. steht die mit dem PoC angestrebte Datenverarbeitung Bislang konnte noch nicht abschließend geklärt werden, im Widerspruch zu den abschließenden Regelungen des ob die mit PIAV-S verarbeiteten Daten anonymisiert oder BKAG. Das BKA darf rechtlich nicht als Auftragsdaten- pseudonymisiert und damit personenbezogene Daten verarbeiter tätig werden, insbesondere wenn der „Auf- sind. Ich befinde mich mit dem BMI hierzu noch in trag“ eigentlich in seinen ureigenen Aufgabenbereich als einem Austausch. Zentralstelle gehört, nämlich hier einen bundesweiten Verbund bereitzustellen. Die Konstruktion der Auftrags- Der Gesamtprogrammleiter machte deutlich, P20 – Poli- verarbeitung kommt erst recht nicht in Betracht, wenn zei 20/20 sei von einer agilen Programmierung geprägt. damit im Ergebnis die gesetzlichen Grenzen der Zentral- In einem mit der AG INPOL abgestimmten Grundsatz- stellentätigkeit unterlaufen werden. Das BKA hat zu der schreiben habe ich mich zuletzt u. a. dazu geäußert, in Warnung Stellung genommen, teilt meine Rechtsauf- welcher Form datenschutzrechtliche Anforderungen fassung jedoch nicht. Meine Einwände habe ich in dem innerhalb agiler Programmierungsprozesse umgesetzt Workshop gegenüber dem BMI noch einmal verdeut- werden müssen. Insbesondere müssen datenschutz- licht. Die weitere Entwicklung bleibt abzuwarten. Ich rechtliche Vorgaben vor Beginn der agilen Entwicklung werde über den Fortgang berichten. vollständig festgelegt und belastbar dokumentiert werden. Querverweise: 6.25 Agile Projektentwicklung Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 67",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p67-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 68,
"content": "6.15 GETZ: Unzureichende werde, teilte das BMI mir mit, dass mir augenscheinlich Evaluation unvollständige Unterlagen zur Verfügung gestellt worden waren. Diese werde ich nun anfordern und gegebenen- Das 2012 gegründete Gemeinsame Extremismus- und falls weiter berichten. Terrorismusabwehrzentrum (GETZ) dient der Bekämp- fung der politisch motivierten Kriminalität und des Terrorismus sowie von Spionage und Proliferation. Eine 6.16 Datenverarbeitung beim BND ernsthafte Evaluation dieser Einrichtung scheint jedoch Die Herstellung datenschutzkonformer Zustände beim nicht gewollt zu sein. Bundesnachrichtendienst (BND) braucht zuweilen Im GETZ treffen sich regelmäßig alle großen Bundes- einen langen Atem. Schon im Jahr 2009 hatte ich daten- und Landesbehörden (insgesamt 40) aus den Bereichen schutzrechtliche Verstöße im Rahmen des Betriebes Polizei, Nachrichtendienste und Strafverfolgung. Dort einer zentralen Großdatei beim BND festgestellt. Diese tauschen sie sich informell zu Entwicklungen und Trends wurden bis heute nicht vollständig behoben. in den verschiedenen „Phänomenbereichen“ aus. Ich Bereits in meinem 23. Tätigkeitsbericht habe ich über bewerte die datenschutzrechtliche Ausgestaltung der datenschutzrechtliche Verstöße in einer beim BND Arbeit im GETZ generell kritisch, da es das im Nach- geführten Großdatei berichtet. Unter anderem hatte der kriegsdeutschland eingeführte Trennungsgebot zwischen BND in dieser Großdatei keine den gesetzlichen Vorga- Polizei und Nachrichtendiensten betrifft und der Infor- ben entsprechende Wiedervorlage- und Löschungsüber- mationsaustausch dort zudem sehr intransparent ist. prüfungen implementiert und durchgeführt. Dies hatte Im Frühjahr des Jahres 2020 wurde mir durch das zur Konsequenz, dass sich in dieser Datei personenbe- Bundesinnenministerium (BMI) auf mehrmalige Bitte zogene Daten befanden, deren Verarbeitung nicht mehr hin ein Evaluationsbericht zum GETZ aus dem Jahr 2017 erforderlich und damit unzulässig war. Gleichwohl ist übersandt. Aufgrund einer Einstufung als Verschlusssa- eine Löschung dieser Daten nicht erfolgt. che kann ich auf Inhalte des Berichts hier nicht einge- Ende 2015 implementierte der BND eine systemseitige hen. Wiedervorlage zur Überprüfung der Erforderlichkeit ei- Schildern kann ich jedoch, dass ich die Evaluation ner weiteren Verarbeitung oder ggf. Löschung personen- für methodisch unzureichend sowie lückenhaft und bezogener Daten in der Großdatei. Dies hatte zur Folge, daher im Ergebnis nicht hilfreich halte. Dies beginnt dass sich der Datenbestand in der Großdatei insbesonde- damit, dass keine unabhängige Stelle, sondern eine der re in zwei Datenarten aufspaltete. Zum einen in solche beteiligten Behörden, mit der Evaluation beauftragt Daten, für die eine gesetzeskonforme Löschwiedervor- wurde. Der Gegenstand der Evaluation, das GETZ und lage implementiert wurde, und zum anderen in solche seine Arbeitsprozesse, wird in dem Bericht nicht näher Daten, die vor der Implementierung der Wiedervorlage- beschrieben. Das Thema Datenschutz wurde vollständig funktion in der Großdatei enthalten waren. Für letztere aus der Evaluation ausgeklammert – und das bei einem wurde die Wiedervorlagefunktion nicht in Funktion ge- Gesprächszirkel aus Polizeibehörden und Nachrichten- setzt, so dass diese nach zehn Jahren im aktiven Bestand diensten, dessen Inhalte unbekannt bleiben. Wie viele ohne eine Erforderlichkeitsprüfung in den Datenschutz- Straftaten durch den konkreten Informationsaustausch archivbereich der Großdatei überführt werden. verhindert oder aufgeklärt wurden, ist ebenfalls nicht Dieses Vorgehen halte ich auch weiterhin für daten- Thema. Auch eine Dokumentation der Evaluation ist fak- schutzrechtlich bedenklich. tisch nicht vorhanden, so dass eine eigene Einschätzung der Ergebnisse des Berichts nicht möglich ist. Eine nichttechnische Lösung zur Herstellung eines gesetzeskonformen Zustandes mittels Durchsicht der Insgesamt drängte sich mir der Eindruck auf, dass das in der Datei enthaltenen Dokumente nach löschpflich- Hauptziel der Evaluation die Legitimation der politi- tigen personenbezogenen Daten hat der BND bis zum schen Entscheidung zur Einrichtung des GETZ war. heutigen Tag mit dem Verweis auf den nicht leistbaren Eine unabhängige und objektive Evaluation im Sinne Aufwand abgelehnt. Eine Löschung des überwiegenden einer kritischen Erfolgsanalyse war offensichtlich nicht Archivbestandes wurde seitens BND und Bundeskanzler- gewollt. Meine Kritik habe ich dem BMI im Mai 2020 amt (BKAmt) mit dem Verweis auf die Notwendigkeit des mitgeteilt und eine neue Evaluation dringend ange- Vorhaltens der Informationen für den politischen Raum regt, ohne dass eine Reaktion erfolgte. Im Jahr 2021 (z. B. Untersuchungsausschüsse) lange verweigert. habe ich nochmals nachgehakt, jedoch ebenfalls keine Antwort erhalten. Erst auf meine Information hin, dass Im Jahr 2018 erfolgte eine Wendung dahingehend, ich diesen Beitrag in den Tätigkeitsbericht aufnehmen dass das BKAmt nunmehr eine Löschung des Archiv 68 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p68-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 69,
"content": "bestandes ohne Nennung eines Termins in Aussicht die beabsichtigte Zusammenlegung der Unterlagen von stellte. Zu klären seien jedoch zunächst archivrechtliche mehreren bisherigen Außenstellen erfolgt. Fragestellungen mit dem Bundesarchiv. Ich habe diesen Klärungsprozess aktiv unterstützt und weiter darauf hin- gewiesen, dass die gesetzwidrig gespeicherten personen- 6.18 Anwendungen auf der bezogenen Daten zu löschen sind. Sofern eine Trennung elektronischen Gesundheitskarte der personenbezogenen von den nicht-personenbezo- gene Daten realisierbar wäre, könnten letztere natürlich Mit dem Digitale-Versorgung-und-Pflege-Modernisie- auch weiterhin archiviert werden. Ist dies jedoch nicht rungs-Gesetz (DVPMG), das zum 9. Juni 2021 in Kraft möglich, müsste das gesamte Archiv gelöscht werden. getreten ist, wurden einige Anwendungen der Telema- tikinfrastruktur (TI) neu eingeführt und existierende Eine Klärung der genannten Fragestellung zwischen neu geregelt. In meiner Beratung zur technischen BND, BKAmt und Bundesarchiv konnte bis zum Redakti- Umsetzung der neuen Anforderungen achte ich darauf, onsschluss dieses Tätigkeitsberichts nicht herbeigeführt dass eine Trennung der Datenverarbeitung der ver- werden. schiedenen Anwendungen gewährleistet bleibt. Wenngleich der Datenschutzarchivbereich nicht aktiv Bisher waren die Anwendungen Notfalldatensatz und genutzt wird, sondern nur in eng umgrenzten Ausnah- elektronischer Medikationsplan auf der elektronischen mefällen zugänglich ist, wächst er bis heute stetig an. Gesundheitskarte (eGK) vorgesehen. Der Notfallda- tensatz wird nun in die neue elektronische Patienten- Ich werde die weitere Entwicklung beobachten und auch kurzakte (ePKA) aufgenommen. Der Medikationsplan zukünftig auf einen datenschutzkonformen Zustand der wird in eine eigene Anwendung in der TI, ohne Speiche- Datei drängen. rung auf der eGK, überführt. Versicherte haben für ei- nen Übergangszeitraum eine Wahlmöglichkeit, welches 6.17 Überführung der Stasi Akten - System sie nutzen wollen. ins Bundesarchiv Auch wenn die ePKA ähnlich benannt ist wie die elekt- ronische Patientenakte (ePA), erfüllt sie einen anderen Seit dem 17. Juni 2021 gehört das Stasi-Unterlagen-Ar- Zweck. Hier sollen fest definierte, strukturierte Notfall- chiv zum Bundesarchiv. An den gesetzlichen Regelun- daten hinterlegt werden können. Diese Daten dienen gen für den Umgang mit den Stasi-Unterlagen ändert dazu, dass beispielsweise Rettungssanitäter auch ohne sich zunächst nichts. technische Freigabe des Versicherten einen Überblick über relevante Vorerkrankungen und den Gesundheits- Mit dem Inkrafttreten des Gesetzes zur Änderung des stand erhalten können. Außerdem bilden sie die Grund- Bundesarchivgesetzes, des Stasi-Unterlagen-Gesetzes lage für den Datenaustausch zu Ärztinnen und Ärzten im (StUG) und zur Einrichtung einer SED-Opferbeauftrag- EU-Ausland. Hierzu müssen Versicherte eine Einwilli- ten wurde die Behörde des Bundesbeauftragten für die gung abgeben, um überhaupt am europäischen System Stasi-Unterlagen aufgelöst. Seit dem 17. Juni 2021 gehört teilzunehmen, und zum Zeitpunkt der Behandlung im diese als Stasi-Unterlagen-Archiv zum Bundesarchiv. Ausland die Übermittlung durch eine eindeutige, bestäti- Eine Veränderung der rechtlichen Grundlagen in Bezug gende Handlung konkret technisch freigeben. auf die Stasi-Unterlagen ist hiermit nicht verbunden. Es gelten somit die bisherigen Regelungen des StUG für die In meiner Beratung der Gesellschaft für Telematikan- Arbeit mit den Unterlagen, aber auch hinsichtlich des wendungen der Gesundheitskarte mbH (gematik) zur Zugangs zu diesen, fort. technischen Konzeption von ePKA und elektronischem Medikationsplan setze ich mich dafür ein, dass die je- Dies begrüße ich, da es sich auch weiterhin um kein weiligen Datenverarbeitungen in der ePA, der ePKA und allgemeines Archivgut handelt, wie es durch das Bundes- dem elektronischen Medikationsplans getrennt bleiben. archiv im Übrigen verwaltet wird. Die Stasi-Unterlagen Die Versicherten müssen die drei Anwendungen jeweils enthalten höchstpersönliche Daten, die in der Regel mit unabhängig voneinander wählen und darauf vertrauen unrechtmäßigen Mitteln beschafft oder sogar konstru- können, dass in der jeweiligen Anwendung verarbeiteten iert wurden und somit eines besonderen Schutzes und Daten nicht gleichzeitig und ohne ihre aktive Mitwir- speziellen Zugangsregelungen bedürfen. Ich werde mich kung in anderen Anwendungen zur Verfügung stehen. daher auch bei künftigen Kontrollen davon überzeugen, Eine Vermischung dieser Verarbeitungen, die z. B. dazu dass diese Standards wie bisher eingehalten werden. Ein führen könnte, dass der Notfallzugriff der ePKA auch bei besonderes Augenmerk wird dann geboten sein, wenn der ePA möglich ist, muss somit ausgeschlossen sein. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 69",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p69-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 70,
"content": "Da das DVPMG kein eindeutiges Einrichtungsverfahren 6.19 Digitale Identitäten für die ePKA vorsieht, habe ich außerdem angeregt, ein Um digitale Verwaltungsprozesse zu nutzen, brauchen Vorgehen ähnlich zur Einrichtung der ePA zu nutzen, Bürgerinnen und Bürger eine sichere und einfach nutz- das eine Beantragung bei der Krankenkasse und dann bare Möglichkeit, sich online auszuweisen. Ich berate die Ersteinrichtung beim Leistungserbringer vorsieht. die Bundesregierung zu mehreren Projekten mit Bezug Das DVPMG führt ferner zu Änderungen beim E-Rezept, zu digitalen Identitäten und setze mich für eine Lösung dessen aktuelle Testphase im Dezember 2021 verlängert ein, die auf sicherer Technologie basiert und Nutzende wurde. So soll es für Privatrezepte möglich sein, die durch klare Regeln schützt. Rechnungsdaten auch im zentralen E-Rezept-Speicher Die Bundesregierung betreibt mehrere Teilprojekte (z. B. abzulegen. Ein Schwerpunkt meiner Beratung der Smart-eID, ID-Wallet), die sich mit digitalen Identitäten gematik liegt darauf, die Zugriffsmöglichkeiten auf diese beschäftigen. Gemeinsames Ziel dieser Teilprojekte ist Rechnungsdaten durch Dritte zu beschränken. Die App es, den Bürgerinnen und Bürgern zu ermöglichen, sich für das E-Rezept, die die gematik nicht nur spezifiziert, online „ausweisen“ zu können. Die Bundesregierung sondern auch selbst entwickelt, bietet als Zusatzfunktion hat die Teilprojekte im Projekt Digitale Identitäten des Push-Benachrichtigungen an. Da diese Funktion über Bundesministeriums des Innern, für Bau und Heimat die Plattformen der mobilen Betriebssystemanbieter (BMI) gebündelt. abgewickelt wird, war hier eine intensive Beratung notwendig. In technischer Hinsicht konnte ich die Onlineausweisfunktion des Ausweises gematik davon überzeugen, die Inhalte zu verschlüsseln In Deutschland existiert mit dem eID-System bereits und auch die Meta-Daten durch das Verschicken von eine technische Infrastruktur für digitale Identitäten. Leernachrichten zu verschleiern. Gleichzeitig habe ich Hierbei handelt es sich um die bekannte Onlineausweis- eine umfangreiche datenschutzrechtliche Beratung im funktion des Personalausweises, des elektronischen Hinblick auf mögliche Übermittlungen personenbezo- Aufenthaltstitels und der eID-Karte für Bürgerinnen und gener Daten an Drittländer geleistet, die Folgen aus dem Bürger aus EU-Mitgliedstaaten (im Nachfolgenden be- Schrems-II-Urteil des Europäischen Gerichtshofs (s. Nr. ziehen sich Aussagen zum Ausweis immer auf alle drei, 3.2.2.2) dargelegt und um deren Beachtung gebeten. technisch identisch ausgestattete Dokumente). Ebenfalls aus dem DVPMG ergibt sich der Auftrag an Mit einem geeigneten Smartphone oder einem Kartenle- die gematik, einen Sofortnachrichtendienst für die TI ser können die mit einem Chip ausgestatteten Ausweise (TI-Messenger) zu entwickeln. Diesbezüglich habe ich genutzt werden, um Identitäten online rechtssicher die gematik bei der Konzeption und Spezifikation dieses nachzuweisen. Das System gilt als datenschutzfreund- Dienstes beraten und ein besonderes Augenmerk darauf lich und sicher. So liegt die digitale Identität physisch gelegt, dass die Anforderungen, die die Datenschutzkon- getrennt vom Internet im Chip des Ausweises. Außer- ferenz (DSK) für Krankenhaus-Messenger in einem Whi- dem benutzt das System keine einheitliche Nummer tepaper veröffentlicht hat, auch für den TI-Messenger für jeden Ausweis. Der Chip generiert vielmehr für jede berücksichtigt werden. Der Ende-zu-Ende-verschlüsselte Stelle, bei der der Ausweis „vorgelegt“ wird, eine eigene TI-Messenger beruht auf dem Matrix-Protokoll und steht Nummer. Damit wird eine unerwünschte Profilbildung zunächst nur Leistungserbringern zur Verfügung. Im der Nutzenden über mehrere Dienste hinweg erschwert. weiteren Verlauf des Jahres 2022 sollen ihn auch die Ver- sicherten für die Kommunikation mit Krankenhäusern Da die Stellen, die Daten aus dem Ausweis online verar- und Praxen nutzen können. Aus Sicht des Datenschutzes beiten wollen, sich registrieren lassen müssen und ein wäre das ein großer Fortschritt und gleichzeitig eine Zertifikat ausgestellt bekommen, können Bürgerinnen Beschleunigung in der medizinischen Versorgung. und Bürger beim Einsatz des Ausweises sicher sein, ihre Identifikationsdaten nur gegenüber seriösen Anbietern offenzulegen. Smart-eID Kritisiert wird das eID-System aufgrund bisher geringer Einsatzmöglichkeiten sowie vermeintlich hoher Nut- zungshürden durch die Kopplung an den physischen Ausweis. Um die Nutzung des eID-Systems zu vereinfachen, wurden das Personalausweisgesetz (PAuswG), das 70 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p70-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 71,
"content": "eID-Karte-Gesetz (eIDKG) und das Aufenthaltsgesetz verarbeitet werden, muss es einen hierfür Verantwort- (AufenthG) zum 1. September 2021 jeweils so erweitert, lichen geben, an den sich Betroffene wenden können. dass die Ausweisdaten auch auf ein mobiles Endgerät, Dieser muss unter anderem in der Lage sein, insbe- z. B. ein Smartphone, mittels eines sicheren Verfahrens sondere auch das Recht auf Löschung oder Korrektur übertragen werden dürfen und dann ohne Einsatz der wahrzunehmen, was in einer auf Unveränderlichkeit physischen Karte als elektronischer Identitätsnachweis ausgelegten Struktur wie der Blockchain-Technologie dienen. Das hierzu als Erweiterung des eID-Systems eine Herausforderung ist. entwickelte Verfahren wird als „Smart-eID“ bezeichnet. Verknüpfung der Smart-eID mit der ID-Wallet Außerhalb des Smartphones wird die bereits bestehende eID-Infrastruktur für die Onlinefunktion des Perso- Ein weiteres Ziel der Bundesregierung ist es, mit Hilfe nalausweises komplett wiederverwendet, so dass die einer sog. Basis-ID aus dem elektronischen Personal- aufgezeigten datenschutzfreundlichen Elemente dieser ausweis abgeleitete Identifikationsdaten in der ID-Wal- Infrastruktur auch hier greifen. let bereitzustellen. Im August 2021 gab es hierzu eine Veranstaltungsreihe unter Hinzuziehung von Experten ID-Wallet unterschiedlicher Disziplinen mit der Zielsetzung, Gleichzeitig betreibt die Bundesregierung in Zusammen- Lösungen für eine Verknüpfung der Smart-eID und des arbeit mit mehreren Unternehmen ein weiteres Teilpro- Ökosystems der ID-Wallet zu entwickeln. jekt, in dem eine ID-Wallet („elektronische Brieftasche“) In Anbetracht einer Prüf- und Bewertungsfrist von entwickelt wird. Dabei handelt es sich um eine App für lediglich zwei Wochen und in Ermangelung prüffähiger das Smartphone, in der Bürgerinnen und Bürger alle Dokumente habe ich meine erste Einschätzung anhand Arten von Nachweis-Dokumenten speichern können der Gewährleistungsziele des Standard-Datenschutzmo- sollen. Denkbar sind neben Daten aus Personalausweis dells vorgenommen. Dabei habe ich eine Präferenz für oder Führerschein, z. B. auch Leistungsnachweise oder die Nutzung der (Smart-)eID-Infrastruktur zur Identifi- Mitgliedschaftsbescheinigungen. kation und zum dauerhaften Speichern der Identifikati- Den technischen Hintergrund bildet eine Infrastruktur, onsdaten ausgearbeitet, bei dem Verantwortlichkeiten die auf der Blockchain-Technologie basiert. Dazu wurde bereits etabliert sind das Sicherheitsniveau bekannt und im Frühjahr 2021 mit der Anwendung „Hotel-Check-in“ eine Rechtsgrundlage vorhanden ist. ein Pilotprojekt im nicht-öffentlichen Bereich gestartet. ID-Wallet-App mit Führerschein-Nachweis Hier wurde auf der Grundlage einer entsprechenden Erprobungsklausel in § 29 Bundesmeldegesetz (BMG) Am 23. September 2021 veröffentlichte die Bundesregie- die ID-Wallet als weiteres elektronisches Verfahren zur rung überraschend die ID-Wallet-App. Die Veröffentli- Erfüllung des Melderechts erprobt. chung erfolgte aber nicht in der Smart-eID-verknüpften Form des Pilotprojektes („Hotel-Check-in“), zu der meine Ziel der Bundesregierung ist es, die ID-Wallet darüber Beratung erfolgte, sondern mit dem Führerschein-Nach- hinaus für alle Lebensbereiche zu öffnen und so zusam- weis als erstem Anwendungsfall. Weder über diesen men mit der Blockchain-Infrastruktur ein sog. „Ökosys- Veröffentlichungszeitpunkt noch über die Planungen tem“ für selbstverwaltete Nachweise aller Art aus dem zur Einbindung des Führerschein-Nachweises war ich öffentlichen und nicht öffentlichen Bereich zu schaffen. im Vorfeld informiert. Aufgrund der aufsichtsbehördlichen Zuständigkeit der Diese App-Variante musste bereits nach einer Woche Landesdatenschutzbehörden für den nicht öffentlichen wieder zurückgezogen werden, um Datenmissbrauch Bereich (z. B. Hotel-Betreiber) erfolgte meine Beratung zu vermeiden. Sicherheitsforscherinnen und -forscher mit Blick auf diese geplante Verwendung der ID-Wallet hatten Möglichkeiten aufgezeigt, das System anzugreifen ausschließlich bezogen auf die seitens der Bundesre- und die Nutzenden über die wahren Empfänger ihrer gierung konzipierte Grundstruktur der App. Insoweit Daten zu täuschen. konnte ich aber bereits Fragen und Hinweise u. a. zur fraglichen Zweckmäßigkeit der Blockchain-Technologie Zusammenfassende Bewertung der Aktivitäten der und zur Sicherheit der ID-Wallet-App adressieren, die Bundesregierung sowohl das Pilotprojekt als auch die spätere breitere Die Bestrebungen der Bundesregierung zur Ermögli- Verwendung betreffen werden. chung einer besseren Nutzbarkeit digitaler Identitä- Gerade beim Einsatz der Blockchain-Technologie erge- ten sind – wie oben dargestellt – in mehreren parallel ben sich komplexe datenschutzrechtliche Fragen, die betriebenen Teilprojekten verteilt. Um digitale Verwal- bislang noch nicht hinreichend geklärt werden konnten. tungsprozesse im öffentlichen und nicht-öffentlichen Wenn personenbezogene Daten auf der Blockchain Bereich medienbruchfrei zu nutzen, brauchen Bürge Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 71",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p71-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 72,
"content": "rinnen und Bürger eine sichere und einfach nutzbare und Bürger vor Sabotage zu schützen, überprüfen staatli- Möglichkeit, sich online auszuweisen. Die Vorgaben zur che Stellen vorab alle Personen, die Zugang zu solchen Umsetzung solcher Prozesse sollten in erster Linie durch Informationen und Einrichtungen erhalten sollen, in den Staat gestaltet werden, um sich nicht den Regeln einer sog. Sicherheitsüberprüfung. Hierbei erheben großer Technologiekonzerne unterwerfen zu müssen. verschiedene Behörden umfangreiche Daten bei der Die Grundvoraussetzung für ein Identifikationssystem betroffenen Person sowie in deren Umfeld und verarbei- ist mit der eID-Infrastruktur, basierend auf etablierter ten diese. Jede Datenverarbeitung ist ein Eingriff in das Technik, vorhanden. Durch den Ausbau der bisher eher Grundrecht auf informationelle Selbstbestimmung. Sol- überschaubaren Einsatzmöglichkeiten elektronischer che Eingriffe erfordern klare Grenzen und eine Rechts- Identitäten könnte auch aus meiner Sicht ein größerer grundlage. Das SÜG regelt deshalb die Voraussetzungen Nutzungsanreiz gesetzt werden. Auch Erweiterungen und das Verfahren der Sicherheitsüberprüfungen und und Vereinfachungen der Nutzungsoberfläche sind beinhaltet besondere Regelungen zum Datenschutz. sinnvoll, wenn sie sicherstellen, dass die mit der eID In der Praxis hat sich in der Vergangenheit jedoch ge- erreichbare Verbesserung der Datenhoheit der Bürgerin- zeigt, dass es im Gesetz einige Regelungslücken gibt, die nen und Bürger im digitalen Bereich auch effektiv zum die Anwender des Rechtes vor zum Teil große Probleme Tragen kommt. stellen. Mit diesem Artikel möchte ich daher exemp- Ein digitales Nutzungssystem, das Bürgerinnen und Bür- larisch einige Lücken oder Unstimmigkeiten im SÜG gern ihre Identifikationsdaten und weitere Attribute wie aufzeigen. Zeugnisse in ihrer eigenen Verwendungshoheit belässt, Folgende Fragen müssen mittels gesetzlicher Regelun- begrüße ich daher prinzipiell. Allerdings führt der An- gen beantwortet werden: satz, dass Betroffene selbst ihre Daten verwalten, allein noch nicht zur Datensouveränität. Es muss auch sicher- 1. Haben Datenschutzbeauftragte eines Unternehmens gestellt sein, dass sie informiert und ohne Nachteile das Recht, die dort geführten Sicherheitsakten einzu- entscheiden können, wem sie welche Daten offenbaren. sehen? Zudem wird ein klares Regelwerk benötigt, das Verant- Nach der aktuellen Gesetzeslage ergibt sich für Da- wortliche und deren Pflichten benennt und Bürgerinnen tenschutzbeauftragte in Behörden ein Einsichtsrecht und Bürger systematisch schützt. Technisch muss die gem. § 36 SÜG i. V. m. §§ 5 ff. BDSG. Diese Regelung Lösung so ausgereift sein, dass sie in der Lage ist, Betrug gilt zumindest ihrem Wortlaut nach nicht unmit- und Datenabfluss zu verhindern. Hierfür werde ich mich telbar auch für Datenschutzbeauftragte in Unter- auch weiterhin bei der Beratung zum Gesamtprojekt nehmen. Ein Grund dafür, das Einsichtsrecht hier „Digitale Identitäten“ einsetzen. unterschiedlich zu regeln, liegt meines Erachtens nicht vor. 6.20 Das Sicherheitsüberprüfungs Die Letztverantwortung für den Inhalt der Sicher- gesetz – Ein Gesetz mit vielen Fra heitsakten und die dazu gespeicherten und verarbei- teten personenbezogenen Daten liegt bei der Unter- gezeichen nehmensleitung/Geschäftsführung des betroffenen Unternehmens. Zur ordnungsgemäßen Erfüllung der Das Sicherheitsüberprüfungsgesetz (SÜG) regelt einen datenschutzrechtlichen Vorgaben auch im Bereich Teilbereich der nationalen Sicherheit und enthält hier- des SÜG kann (oder muss) diese einen betrieblichen zu auch spezielle datenschutzrechtliche Regelungen. In Datenschutzbeauftragten bestellen. Es kann nicht der Praxis hat sich gezeigt, dass an einigen Stellen noch im Sinne des Gesetzgebers sein, dass meine Behörde nachgebessert werden muss. Die aktuell anstehende hier der einzige Ansprechpartner für Unternehmen Evaluierung des SÜG ist hierfür eine gute Gelegenheit. und Betroffene ist. Die Verpflichtung, eine ordnungs- Das Sicherheitsüberprüfungsrecht unterliegt der gemäße Datenverarbeitung zu gewährleisten, wird besonderen Herausforderung, die unterschiedlichen den Unternehmen erschwert, wenn sie sich im Be- Interessen des Staates und des Einzelnen möglichst ins reich des SÜG nicht eines betrieblichen Datenschutz- Gleichgewicht zu bringen. Den Sicherheitsinteressen beauftragten bedienen können. des Staates steht hierbei das Recht auf informationel- Ich vertrete daher die Auffassung, dass auch in Un- le Selbstbestimmung des Einzelnen gegenüber, der ternehmen Datenschutzbeauftragten ein Einsichts- im Rahmen der Sicherheitsüberprüfung einige auch recht in dort geführten Sicherheitsakten zustehen höchstpersönliche Daten preisgeben muss. Um vertrau- muss. Die Gesetzeslage ist hier nicht eindeutig. liche Informationen zu bewahren und lebenswichtige Deshalb sollte der Gesetzgeber im SÜG selbst eine Einrichtungen für den Staat sowie seine Bürgerinnen 72 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p72-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 73,
"content": "Regelung zum Einsichtsrecht der Datenschutzbeauf- Die Datenweitergabe erfolgt derzeit aufgrund einer tragten in nichtöffentlichen Stellen treffen. Zwecks von den Betroffenen abgegebenen Einwilligung (An- Klarstellung der Gleichbehandlung der Datenschutz- lage 19h zum Geheimschutzhandbuch des Bundesmi- beauftragten im öffentlichen und nichtöffentlichen nisteriums für Wirtschaft und Energie). Bereich empfehle ich das Einsichtsrecht beider Da- tenschutzbeauftragten gemeinsam im SÜG zu regeln. Problematisch ist hier, dass § 36 SÜG den § 51 Abs. 1 BDSG für entsprechend anwendbar erklärt. Dieser 2. Wer ist der richtige Adressat einer Beanstandung im regelt Anforderungen an die Qualität der Einwilli- nichtöffentlichen Bereich? gung und deren Nachweis, soweit eine Datenverar- In § 36 a Abs. 2 SÜG ist meine Zuständigkeit für beitung auf der Grundlage einer Einwilligung per datenschutzrechtliche Kontrollen sowohl bei öf- Rechtsvorschrift zugelassen ist. Im SÜG findet sich, fentlichen als auch nichtöffentlichen Stellen gere- wie vorstehend bereits erwähnt, aber eben keine gelt, soweit sie Aufgaben dieses Gesetzes erfüllen. derartige Regelung. Der Verweis auf § 51 BDSG Jedoch fehlt im nichtöffentlichen Bereich eine klare scheint zu kurz gegriffen für den Bereich des SÜG. Es Regelung dahingehend, wem gegenüber ich meine erscheint mehr als fraglich, ob das Erfordernis einer Kontrollergebnisse – insbesondere Beanstandungen durch Rechtsvorschrift zugelassenen Einwilligung – adressiere. Eine Ergänzung des § 36a SÜG, die den tatsächlich im Interesse des Gesetzgebers gewesen Adressaten der jeweiligen Kontrollergebnisse regelt, ist. Soweit hier allein auf die Anforderungen an die wäre hier wünschenswert. Einwilligung und die Nachweispflicht verwiesen 3. Welche Maßnahmen sind durch das Bundesamt für werden sollte, ist dies jedenfalls nicht eindeutig. Verfassungsschutz (BfV) bei einer Sicherheitsüber- Sinnvoll wäre es auch hier, für das Besuchskontroll- prüfung auf Antrag ausländischer Dienststellen nach § 33 SÜG durchzuführen? verfahren eine passende Regelung im SÜG selbst auf- zunehmen. Alternativ könnte man den Verweis auf Welche Maßnahmen bei den unterschiedlichen § 51 Abs. 1 BDSG auf Modalitäten und Nachweis der Arten der Sicherheitsüberprüfungen durchzuführen Einwilligung beschränken, sodass eine Einwilligung sind, regelt § 12 SÜG. Nicht geregelt ist hingegen, seitens der Betroffenen nicht mangels bestehender welche Maßnahmen erfolgen sollen, wenn eine Regelung im SÜG gesperrt würde. Überprüfung auf Antrag einer ausländischen Stelle durchgeführt wird. Darüber hinaus bedarf es hier Ich werde die aus meiner Sicht notwendigen Ergänzun- auch weiterer Regelungen zum Umgang mit den gen und Änderungen im SÜG der neuen Bundesregie- erhobenen personenbezogenen Daten, wie etwa rung erläutern und diese um Prüfung sowie mögliche Bestimmungen zur Vernichtung und Löschung. Umsetzung meiner Anregungen bitten. 4. Auf welcher Grundlage kann die Datenübermittlung Nun ist der Gesetzgeber gefragt! im Rahmen des in der Wirtschaft häufig auftretenden Besuchskontrollverfahrens erfolgen? Ich empfehle, das Einsichtsrecht der betrieblichen Da- Ist hier eine Einwilligung seitens der Betroffenen zur tenschutzbeauftragten in die im Unternehmen geführ- Datenweitergabe möglich? ten Sicherheitsakten, den Adressaten einer Beanstan- Nach der geltenden Rechtslage ist die Weitergabe von dung im nichtöffentlichen Bereich, den Umfang der personenbezogenen Daten im Rahmen des sog. „Be- Maßnahmen bei Sicherheitsüberprüfungen gem. suchskontrollverfahrens“ nicht gesetzlich geregelt. § 33 SÜG sowie die Datenübermittlung im sogenannten Das Besuchskontrollverfahren kommt zum Einsatz, Besuchskontrollverfahren im SÜG zu regeln. wenn sicherheitsüberprüftes Personal ein anderes als das Beschäftigungsunternehmen oder eine staat- liche Stelle besuchen soll und dabei der Zugang zu Verschlusssachen erforderlich oder möglich ist. Weder das SÜG noch das BDSG enthalten Regelungen dazu, unter welchen Voraussetzungen oder gar wel- che personenbezogenen Daten an die besuchte Stelle zu übermitteln sind. Ebenfalls bleibt der Umgang mit den Daten bei der aufnehmenden Stelle ungeregelt. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 73",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p73-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 74,
"content": "6.21 Pilotprojekt zur „intelligen Videodaten erwies sich keines der Systeme als geeignet ten“ Videoüberwachung am Bahn für den bundespolizeilichen Einsatz. hof Berlin Südkreuz, 2. Teil Zu den Rahmenbedingungen des Tests gehörte, dass die Erkennung von Personen nicht aufgrund biometrischer Der Abschlussbericht des 2. Teils des Projektes weist al- Merkmale erfolgen durfte. Die Hersteller sicherten da- lenfalls erste Ansätze für die geplante Nutzung aus, die her zu, dass mögliche biometrische Module der Software Software genügt den Anforderungen eines Einsatzes im vorab deaktiviert wurden. Es wurde ein Teil der bereits komplexen Umfeld eines Bahnhofes bei weitem nicht. vorhandenen Videokameras am Bahnhof Südkreuz Das Projekt wird bis Ende 2021 fortgeführt. genutzt, die Szenen wurden von Darstellern gespielt und jeweils in einem deutlich markierten Bereich aufge- In der Vergangenheit habe ich in meinem 27. Tätigkeits- nommen. Damit war sichergestellt, dass Passanten die bericht (Nr. 9.3.3) und in meinem 28. Tätigkeitsbericht Bereiche meiden konnten und nicht unfreiwillig gefilmt (Nr. 6.2) schon von dem Pilotprojekt zur intelligenten wurden. Die Öffentlichkeit wurde durch Hinweisschil- Videoüberwachung am Bahnhof Südkreuz in Berlin der und Informationen in der Presse informiert, die berichtet. Dort testete die Deutsche Bahn AG zusammen wissenschaftliche Begleitung des Projektteils erfolgte mit der Bundespolizei im ersten Teil Software zur biome- durch die ITIS GmbH der Universität der Bundeswehr in trischen Gesichtserkennung (s. o. g. Tätigkeitsberichte). München. Der Bericht endet mit der Empfehlung, die Vi- Im zweiten Teil wurde im Herbst 2019 Software von drei deoanalysetechnik weiterzuentwickeln und zu erproben. verschiedenen Herstellern zur Erkennung von verschie- Der Test solle dabei auch auf weitere Softwareanbieter denen Gefahrensituationen, sowie zur Nachverfolgung ausgedehnt werden. der Positionen von Personen oder Gegenständen und zur retrograden Auswertung von Videodaten getestet. Mitte Dieses schlechte Testergebnis sollte nach meinem Dafür- Mai 2021 wurde mir der Testbericht (Stand 23. Novem- halten nicht die Grundlage weiterer, ähnlich aufwen- ber 2020) zur Kenntnis gegeben. Im Ergebnis wird dort diger Tests sein, sondern – wenigstens zum jetzigen festgestellt, dass keine Software den Anforderungen Zeitpunkt – das Ende derartige Tests bedeuten. Vielmehr genügte, lediglich vielversprechende Ansätze zur Lösung sollte die Gelegenheit ergriffen werden, die Steigerung konnte in vielen Fällen konstatiert werden. Zur Erin- der Sicherheit der Bahnhöfe durch andere Maßnahmen nerung: getestet wurde die Situation „liegende Person“, zu erreichen. z. B. eine gestürzte Person die Hilfe benötigt, die Situa- Der Innenminister hat in einer Pressemitteilung vom tion „Betreten definierter Bereiche“, z. B. Personen, die Dezember 2020 jedoch schon angedeutet, dass die Tests sich zu nahe an der Bahnsteigkante befinden, die Situati- fortgeführt werden sollen. Letzten Informationen zu- on „Personenströme/Ansammlungen“, z. B. Ansammlun- folge werden die Tests des zweiten Projektteils bis zum gen vor Fahrtreppen, die Situation „Personenzählung“, Ende des Jahres 2021 fortgeführt. Weitere Details liegen d. h. zählen von Personen in einem festgelegten Bereich, mir noch nicht vor. sowie die Situation „abgestellte Gegenstände“, das sind Gepäckstücke die eine längere Zeit unbeaufsichtigt ab- gestellt werden. Diese Situationen wurden federführend von der Deutschen Bahn AG getestet, die o. g. Situatio- 6.22 Eurojust, Europäische nen „Nachverfolgung von Positionen“ und „retrograde Staatsanwaltschaft: Auswertung von Videodaten“ wurden unter Federfüh- Neue Zuständigkeiten rung der Bundespolizei getestet. Die strafjustizielle Zusammenarbeit auf europäischer In den Situationen unter der Federführung der DB-AG Ebene gewinnt zunehmend an Bedeutung. Hierfür war durchgehend die Fehlalarmierungsquote zu hoch, stehen insbesondere neuere Rechtsakte für Eurojust teilweise wurden Situationen nicht vom System erkannt. und die Europäische Staatsanwaltschaft. Um den Daten- Einzig die Visualisierung von Personenströmen und schutz in diesem Bereich sicherzustellen, arbeite ich Ansammlungen gelang allen Systemen. Die Situation auf nationaler und europäischer Ebene in verschiede- „Nachvollziehen von Positionen“ konnte von einem nen Gremien mit. Hersteller gar nicht umgesetzt werden, der zweite Her- steller konnte die Positionen nicht kameraübergreifend Eurojust nachvollziehen und der dritte Hersteller benötigte zur Bei Eurojust handelt es sich um eine Einrichtung der Umsetzung der Anforderungen umfangreiche Nach- Europäischen Union, welche die Justizbehörden der konfigurationen der Software, die als zu umfangreich Mitgliedstaaten bei der grenzüberschreitenden Zusam- erkannt wurden. Zur retrograden Auswertung der menarbeit unterstützt. Dies betrifft beispielsweise die 74 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p74-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 75,
"content": "Bekämpfung von Terrorismus, Drogen- oder Waffenhan- 6.23 Zusammenarbeit mit anderen del. Da es sich bei Eurojust selbst um eine europäische Kontrollorganen im Bereich der Einrichtung handelt, liegt die Aufsicht bei dem Europäi- schen Datenschutzbeauftragten (EDSB). Meine Aufgabe Nachrichtendienste des Bundes ist es, gemeinsam mit den Datenschutzbeauftragten der In diesem Jahr habe ich die Zusammenarbeit mit der Länder die Übermittlungen von personenbezogenen G10-Kommission und dem Parlamentarischen Kon- Daten durch die deutschen Strafverfolgungsbehörden trollgremium im Rahmen mehrerer Gespräche auf an Eurojust zu beaufsichtigen. Dementsprechend habe unterschiedlichen Ebenen intensiviert und wichtige ich z. B. geprüft, ob sichere Kommunikationskanäle Weichen für unsere künftige Zusammenarbeit gestellt. zwischen Eurojust und den nationalen Stellen vorhan- den sind. Auch habe ich ein Informationsgespräch mit Die in den letzten Jahren begonnene Zusammenarbeit dem deutschen Mitglied bei Eurojust geführt, in dem mit der G 10-Kommission und dem Parlamentarischen insbesondere Fragen zur konkreten Arbeitsweise von Kontrollgremium (PKGr) habe ich in diesem Jahr weiter Eurojust im europäischen Mehrebenensystem geklärt fortgesetzt. Dazu fand ein gemeinsamer Jour Fixe mit werden konnten. der G 10-Kommission auf Arbeitsebene statt. Europäische Staatsanwaltschaft Auch die Zusammenarbeit mit dem PKGr konnte nach dem Antrittsbesuch von Herrn Kiesewetter, dem Vor- Bei der Europäischen Staatsanwaltschaft (EUStA) handelt sitzenden des Gremiums in der 19. Legislaturperiode, es sich um eine neue Einrichtung auf europäischer in meiner Bonner Dienststelle weiter ausgebaut wer- Ebene, die ihre Arbeit am 1. Juni 2021 aufgenommen den. Das kollegiale und vertrauensvolle Gespräch mit hat. Die EUStA ist für Straftaten gegen die finanziellen Herrn Kiesewetter führte zu einem Austausch mit dem Interessen der Union zuständig und verfolgt Straftaten Ständigen Bevollmächtigten, Herrn Schlatmann, und zu Lasten des EU-Haushalts. Dazu kann sie Ermittlungen einem weiteren Termin auf Arbeitsebene. Dies wollen durchführen, Strafverfolgungsmaßnahmen ergreifen wir mit den Verantwortlichen der 20. Legislaturperiode und vor den zuständigen Gerichten der Mitgliedstaa- fortsetzen. Mit der Intensivierung dieser Kontakte sollen ten die Aufgaben der Staatsanwaltschaft wahrnehmen. bereits im Vorfeld aktiv die Weichen für eine konstruk- Deutschland ist einer der 22 Mitgliedstaaten, die im tive künftige Zusammenarbeit gestellt werden, die für Rahmen der verstärkten Zusammenarbeit an der EUStA mich von besonderer Bedeutung ist. Damit möchte ich teilnehmen. Bei ihrer Ermittlungsarbeit ist die EUStA auch den Änderungen des PKGr-Gesetzes Rechnung befugt, auf nationale Strafverfolgungsbehörden zurück- tragen, die am 1. Januar 2022 in Kraft treten. Das Gesetz zugreifen, so dass sich meine Aufsichtstätigkeit primär sieht zukünftig einen engeren Austausch mit den Kon- auf die Einhaltung datenschutzrechtlicher Vorgaben bei trollorganen über die Nachrichtendienste des Bundes den betroffenen Strafverfolgungsbehörden des Bundes vor (G 10-Kommission, BfDI sowie der neu geschaffene bezieht. Aufgrund der erst kürzlich erfolgten Arbeits- Unabhängige Kontrollrat) und mit dem PKGr als dem aufnahme der europäischen Einrichtung setze ich mich verbindenden Element. Ich verstehe die Gesetzesände- ferner mit den Datenschutzaufsichtsbehörden der teil- rung nicht nur als gesetzlichen Auftrag, sondern auch nehmenden Mitgliedstaaten sowie dem primär zustän- als Chance, die gemeinsame Zusammenarbeit weiter digen EDSB über die organisatorische Ausgestaltung der auszubauen und positiv zu prägen, um so dem Daten- EUStA in den Mitgliedstaaten sowie die Klärung offener schutz mit seiner stetig wachsenden Bedeutung auch auf Zuständigkeitsfragen auseinander. Insgesamt handelt es dieser Ebene gerecht zu werden. sich hierbei um eine neue Aufgabe im Rahmen meiner aufsichtsrechtlichen Zuständigkeit. Koordinierte Aufsicht von Eurojust und Europäischer Staatsanwaltschaft (Coordinated Supervision Commit- tee, CSC) Um eine koordinierte Aufsicht von Eurojust und EUStA in der EU sicherzustellen, kommen die Mitglieder der europäischen Aufsichtsbehörden und der EDSB im sog. Ausschuss für koordinierte Aufsicht (CSC) zusammen. In diesem Gremium werden gemeinsame Vorgehensweisen zu grenzüberschreitenden Aufsichtsthemen festgelegt. Die Repräsentanz der deutschen Aufsichtsbehörden übe ich gemeinsam mit zwei Vertretungen der Landesdaten- schutzbehörden aus. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 75",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p75-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 76,
"content": "6.24 Passenger Name Records Zudem konnte die Musterfunktionalität das gesetzliche (PNR) – Zentrale Fragen sind Ziel, Personen zu identifizieren, bei denen tatsächliche Anhaltspunkte dafür vorliegen, dass sie eine Terroris- weiterhin ungeklärt mus-bezogene Straftat im Sinne des FlugDaG begangen haben oder innerhalb eines übersehbaren Zeitraumes Beim Europäischen Gerichtshof (EuGH) und auch bei begehen werden, in den ersten zwei Jahren nicht för- deutschen Gerichten sind weiterhin Verfahren anhän- dern. Hinzu kommt, dass die Anwendung von Musterab- gig, mit denen die Rechtmäßigkeit der Verarbeitung gleichen auf Flügen innerhalb der Europäischen Union von Fluggastdaten zur Bekämpfung von Terrorismus (EU) keineswegs zur Umsetzung der sog. PNR-Richtlinie und anderen schweren Straftaten geklärt werden soll. ((EU) 2016/681) erforderlich ist. Hierdurch wird die Zahl Zudem liegen nun erste Zahlen zum Einsatz von abs- der Grundrechtseingriffe noch einmal erheblich ver- trakten Gefährdungsmustern in Deutschland vor, die größert, ohne dass eine entsprechende Erforderlichkeit meine Zweifel an der Vereinbarkeit mit den Grundrech- erkennbar ist. ten bestärken. Spätestens seit dem Gutachten vom 26. Juli 2017 zum Den Umfang der Verarbeitung von Fluggastdaten durch geplanten Fluggastdaten-Abkommen zwischen Kanada Polizeibehörden halte ich für unverhältnismäßig. und der EU des EuGH ist deutlich geworden, dass es Hierauf habe ich bereits in vergangenen Berichtsjahren dringend nötig ist, die Erkenntnisse auch mit Blick auf wiederholt hingewiesen (vgl. 22. TB Nr. 13.5.4; 26. TB die PNR-RL und das FlugDaG umzusetzen (vgl. 28. TB Nr. 2.3.2; 27. TB Nr. 1.3; 28. TB Nr. 6.4; 29. TB Nr. 6.6). Nr. 6.4). Die laufenden Vorabentscheidungsersuchen vor Die Richtlinie (EU) 2016/681 vom 27. April 2016 über die dem EuGH von Gerichten aus verschiedenen Mitglied- Verwendung von Fluggastdatensätzen zur Verhütung, staaten und Klagen gegen Luftfahrtunternehmen und Aufdeckung, Ermittlung und Verfolgung von terroris- die Fluggastdatenzentrale beim BKA werden weitere tischen Straftaten und schwerer Kriminalität (PNR-RL) Klärung zur Vereinbarkeit der PNR-RL und auch des verpflichtet die Mitgliedstaaten, anlasslos und perma- FlugDaG mit den Grundrechten bringen. nent Fluggastdaten von Luftfahrtunternehmen zu erhe- ben, abzugleichen und über fünf Jahre zu speichern, um auch eine rückwirkende Auswertung zu ermöglichen. Deutschland hat die PNR-RL mit dem Fluggastdatenge- 6.25 Agile Projektentwicklung setz (FlugDaG) umgesetzt. Große IT-Projekte im Bereich der Sicherheitsbehör- den weisen immer höhere Komplexität und Dynamik Die Datenbestände können insbesondere automatisiert auf und die Entwicklungsmethoden werden stets mit Fahndungsdatenbanken abgeglichen werden, aber angepasst. Erste Projekte werden heute mit agilem auch mit vorher erstellten Mustern. Erfüllt eine Per- Projektmanagement durchgeführt. Ziel ist es, Flexibili- son die Kriterien eines solchen Musters (z. B. Art der tät, Transparenz und Sicherheit für alle Beteiligten zu Buchung, gewählte Flugroute etc.), ist dies vergleichbar erzielen. Um beim Entwicklungsprozess so früh wie mit einem Treffer beim Abgleich mit einer polizeilichen möglich zu ausführbarer Software zu gelangen, wird die Datenbank. Es entsteht eine Art Verdacht, dass die be- Entwurfsphase auf ein Mindestmaß reduziert und auf troffene Person eine der im FlugDaG genannten terroris- agile Projekt- und Softwareentwicklung gesetzt. Diese tischen und weiteren schweren Straftaten begangen hat muss kein Widerspruch zum Datenschutz sein. oder innerhalb eines übersehbaren Zeitraumes begehen wird. Personen können so in den Fokus von Bundes- Bei der Entwicklung von IT-Systemen müssen daten- kriminalamt (BKA) und Landeskriminalämtern, Zoll schutzrechtliche Leitplanken beachtet werden. Die Ziele und Bundespolizei, aber auch des Bundesamts und der und Meilensteine müssen so genau festgelegt und doku- Landesämter für Verfassungsschutz, des militärischen mentiert sein, dass eine fundierte datenschutzrechtliche Abschirmdienstes oder des Bundesnachrichtendienstes, Beratung und Kontrolle möglich ist. Andernfalls besteht geraten. bei Sicherheitsbehörden die Gefahr, dass aufgrund von Beanstandungen nach § 16 BDSG oder Anordnungen Dass ich, ebenso wie meine Kolleginnen und Kollegen nach § 69 Abs. 2 BKAG Teile des IT-Systems in einem in Europa, das positive Fazit der EU-Kommission in der kostenintensiven Prozess überarbeitet oder gar neu Evaluierung zur Umsetzung der PNR-RL anzweifle, habe programmiert werden müssen. ich bereits zum letzten Berichtsjahr deutlich gemacht (vgl. 29. TB Nr. 6.6). Auch die nunmehr vorliegenden Bei den Sicherheitsbehörden bewegt man sich im Zahlen zu den ersten zwei Jahren der Nutzung von Bereich der grundrechtssensitiven staatlichen Eingriffs- Mustern in Deutschland lassen erhebliche Zweifel an der verwaltung mit entsprechenden Gesetzesvorbehalten. Verhältnismäßigkeit der Musterabgleiche aufkommen. Datenschutzrechtliche Vorgaben müssen vor Beginn der 76 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p76-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 77,
"content": "agilen Entwicklung vollständig festgelegt und belastbar Bislang habe ich im Rahmen meiner aufsichtsbehördli- dokumentiert werden. In Bezug darauf gibt es keinen chen Tätigkeit schwerpunktmäßig beratende Unterstüt- Verhandlungsspielraum wie beispielsweise bei Zeit oder zung angeboten, die insbesondere seitens des ITZBund, Budget. So ist bereits mit dem Projektauftrag zu klären, wo PVSplus für den zentralen Einsatz in der Bundes- innerhalb welcher konkreten und detaillierten recht- verwaltung weiterentwickelt wird, rege beansprucht lichen Vorgaben sich das Projekt bewegen kann bzw. worden ist. Positive Ergebnisse meiner Beratungen im muss. Auch technische Entwicklungsziele sind inner- Bereich des Beschäftigtendatenschutzes waren z. B. halb der datenschutzrechtlichen Leitplanken zu formu- Anpassungen bei der Bezügemitteilung. Auch bei der lieren und zu dokumentieren. Vereinbarung zur Auftragsverarbeitung hat meine Bera- tung Verbesserungen ermöglicht. Datenschutzrechtliche Anforderungen durchziehen die gesamte Projektentwicklung, von der Zielsetzung des Dennoch sind die im Laufe der Jahre auf diese Weise Projekts über die Entwicklung eines geeigneten Daten- erreichten datenschutzrechtlichen Ergebnisse noch modells und die zweckgebundene Datenverarbeitung keineswegs zufriedenstellend. Insbesondere verfügt bis hin zur Datenspeicherung, Löschung und Protokol- die eingesetzte Softwareanwendung aktuell über keine lierung. Im Entwicklungsprozess ist zu dokumentieren, ausreichend automatisierten Löschroutinen, um die auf welche Weise die Entwicklungsvorgaben eingehalten gesetzlichen Lösch- und Aufbewahrungsvorgaben der und wie die fachlichen Anforderungen innerhalb der durchaus sensiblen personenbezogenen Daten zu ge- rechtlichen Leitplanken umgesetzt werden. Dazu gehört währleisten. auch der Nachweis, dass die Rückverfolgbarkeit bzw. Neben der beratenden Begleitung des Projektes bzw. Nachvollziehbarkeit der Software gewährleistet ist. Produktes werde ich zukünftig den Fokus auch auf Zeitpunkte, an denen Berichte über den Entwicklungs- gezielte Kontrollen der Datenverarbeitung über PVSplus fortschritt erstellt werden, müssen vorab festgelegt bei den Bundesbehörden legen, die PVSplus für ihre werden. Diese können wieder Gegenstand der daten- Personalverwaltung nutzen. schutzrechtlichen Beratung sein. Für diese „Kundenbehörden“ gilt: Solange PVSplus keine Am Ende sollte eine technische Beschreibung und Do- verlässliche automatisierte Löschung der personenbe- kumentation des betriebsfertigen Systems stehen, die es zogenen Daten zur Verfügung stellt, ist die Wahrung der ermöglicht, das Produkt vor seinem Einsatz vollständig gesetzlichen Lösch- und Aufbewahrungsvorgaben durch auf seine datenschutzrechtliche Zulässigkeit zu prüfen. organisatorische Maßnahmen zu gewährleisten. 6.26 Personalverwaltungssystem PVSplus: Noch nicht gelöste datenschutzrechtliche Herausforderungen Die Einführung des einheitlichen Personalverwal- tungssystems PVSplus in der Bundesverwaltung ist mit einigen bisher ungelösten datenschutzrechtlichen He- rausforderungen verbunden. Ich werde künftig meine Beratungs- und Kontrolltätigkeiten in diesem Bereich weiter verstärken. Seit einigen Jahren hat die Bundesverwaltung mit dem Projekt „Personalverwaltungssystem PVSplus“ ein infor- mationstechnisches Großvorhaben in Angriff genom- men. Hierbei sollen die unterschiedlichen Personalver- waltungssysteme in der Bundesverwaltung durch eine einheitliche informationstechnische Lösung großflächig konsolidiert und künftig ausschließlich in den zentralen Rechenzentren des Informationstechnikzentrums Bund (ITZBund) betrieben werden. Die eingesetzte Lösung basiert auf dem Verfahren eines großen Enterprise-Re- source-Planning (ERP) Anbieters. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 77",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p77-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 78,
"content": "7 Informationsfreiheit 7.1 Gremien IFK forderte den Bundesgesetzgeber darüber hinaus auf, die EU-Richtlinie zum Schutz von Whistleblowern 7.1.1 Konferenz der Informationsfreiheitsbeauftragten so schnell wie möglich umzusetzen und den Schutz auch in Deutschland auf Hinweisgeberinnen und -geber zu erstrecken, die Verstöße gegen nationales Recht melden. Die Konferenz der Informationsfreiheitsbeauftragten aus Bund und Ländern (IFK) gab auch 2021 wichtige Im nächsten Jahr wird Schleswig-Holstein den Vorsitz Anstöße zu aktuellen Themen der Transparenz staatli- der IFK übernehmen. chen Handelns. 7.1.2 Internationale Konferenz der Informationsfrei- Die Konferenz hat das Ziel, das Recht auf Zugang zu heitsbeauftragten amtlichen Informationen zu fördern und für die Wei- terentwicklung der Informationsfreiheit einzutreten. Die Internationale Konferenz der Informationsfreiheits Hierzu werden durch die IFK beispielsweise Entschlie- beauftragten (ICIC) hat ein neues Exekutivkomitee für ßungen verabschiedet, die Forderungen zu informa- drei Jahre gewählt. tionsfreiheitsrechtlichen Themen an die Gesetzgeber Zur ersten Vorsitzenden des ICIC-Exekutivkomitees und Regierungen in Bund und Ländern enthalten. Den wurde Comisionada Presidente Blanca Lilia Ibarra at the jährlich wechselnden Vorsitz hatte im Jahr 2021 der Lan- National Institute for Transparency, Access to Informa- desbeauftragte für die Informationsfreiheit Sachsen-An- tion and Personal Data Protection of Mexico gewählt. halt inne. Pandemiebedingt fanden die Konferenzen als Darüber hinaus waren die Kandidaten aus Albanien, Videokonferenzen statt. Bermuda, Brasilien, Chile, Kenia, Südafrika und den Auf der 40. Konferenz wurden drei Entschließungen Vereinigten Staaten erfolgreich. Das neu konstituierte verabschiedet. Die IFK forderte mehr Transparenz Exekutivkommitee hat die Geschäfte am 24. Juni 2021 im Verfassungsschutz, die Einführung behördlicher übernommen. Informationsfreiheitsbeauftragter bei allen öffentlichen Nachdem die zunächst für 2020 in Brasilien geplante Stellen und im Rahmen eines Forderungspapiers an den 12. Internationalen Konferenz der Informationsfrei- neu gewählten Bundestag die Schaffung eines Transpa- heitsbeauftragten pandemiebedingt verschoben wor- renzgesetzes auf Bundesebene. den war, wurde sie ab Mai 2021 in Form verschiedener Auch die 41. Konferenz verfolgte das Ziel, der Informati- Online-Veranstaltungen (Webinare, Workshops und onsfreiheit noch mehr Geltung zu verschaffen. Es wur- Sitzungen) durchgeführt. Die diesjährige Sitzung der den drei Entschließungen gefasst. Die IFK forderte den Beauftragten fand am 23. und 24. Juni 2021 in Form einer Bundesgesetzgeber zur Zustimmung zur Tromsø-Kon- Videokonferenz statt. Neben den Berichten über den vention des Europarats auf; diese Konvention ist 2009 in Stand der Informationsfreiheit in den Regionen waren Kraft getreten und beinhaltet ein allgemeines Recht auf eine Resolution über die strategischen Prioritäten der Zugang zu amtlichen Dokumenten der öffentlichen Ver- ICIC 23 in den nächsten Jahren sowie zur proaktiven waltung und Mindeststandards bei der Bearbeitung von Veröffentlichung von Informationen im Zusammenhang Informationszugangsanträgen. Zudem wurde gefordert, mit der Covid-19-Pandemie Gegenstand der Tagesord- die Beratungs- und Kontrollkompetenzen im Umweltin- nung. Die Weiterentwicklung und Ausrichtung der ICIC formationsrecht in den Ländern auch auf die Landesbe- wird nach dem Strategieplan eine Aufgabe für die nächs- auftragten für Informationsfreiheit zu übertragen. Die ten Jahre sein. 23\t\u0007Weitere Infos zum Strategieplan der ICIC: https://www.informationcommissioners.org/icic-signs-resolution-on-its-strategic-plan-for-the-next-three-years 78 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p78-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 79,
"content": "7.2 „Glyphosat“-Urteil – Zur Gewährung des Informationszugangs nach dem IFG für Veröffentlichung einer behördlich die Annahme eines öffentlichen Werkes nach § 5 Abs. 2 UrhG ausreicht, lässt das Gericht hingegen ausdrücklich erstellten Stellungnahme nach offen. Informationszugang Der Verein kann sich zudem auf § 50 UrhG berufen. Das Urheberrecht steht der Weiterverbreitung einer Danach ist eine öffentliche Wiedergabe von Werken zur behördlich erstellten Stellungnahme zum Herbizit Gly- „Berichterstattung über Tagesereignisse“ in einem durch phosat nicht entgegen, wenn die Behörde diese bereits den Zweck gebotenen Umfang gestattet. Das Gericht als amtliches Werk veröffentlicht hat. Auch die Weiter- würdigt dafür die redaktionelle Berichterstattung. Es verbreitung im Rahmen einer Berichterstattung über kommt zu dem Ergebnis, dass die Stellungnahme nicht Tagesereignisse war im konkreten Fall zulässig. um ihrer selbst willen präsentiert wird, sondern in einem größeren Kontext redaktionell eingebettet in eine Der Streit um die Veröffentlichung einer durch das kritische Berichterstattung über die Behörde erscheint. Bundesinstitut für Risikobewertung (BfR) erstellten Stel- Als Gegenstand der Berichterstattung sieht das Gericht lungnahme zu den Krebsrisiken des Herbizids Glyphosat wurde vom Oberlandesgericht Köln (OLG Köln) am 12. nicht die Stellungnahme als solche oder die Nichther- Mai 2021 entschieden (Az.: 6 U 146/20). ausgabe des Dokuments an, sondern letztlich die Rolle des BfR im Zusammenhang mit der (Neu-) Zulassung Der Verein Open Knowledge Foundation (OKF) hatte das des Pflanzenschutzmittels Glyphosat. Dem beklagten Dokument ohne Zustimmung des BfR in einem redakti- Verein gehe es sowohl um den erschwerten Informa- onellen Artikel auf seiner Internetseite „Frag den Staat“ tionszugang mit Mitteln des Urheberrechts, was er als veröffentlicht. Dagegen war das BfR gerichtlich vor- „Zensururheberrecht“ bezeichnet, als auch um die Ge- gegangen. Das OLG Köln lehnte einen dahingehenden fährlichkeit des Unkrautvernichtungsmittels Glyphosat. Unterlassungsanspruch der Behörde jedoch ab. Damit Der Inhalt des Textes ermöglicht den Lesern der Website bestätigte das OLG Köln im Ergebnis die Entscheidung eine eigene Beurteilung, ob – und wenn ja – inwieweit der Vorinstanz (vgl. 29. TB, Nr. 8.2.1). die im Rahmen der Berichterstattung erhobenen Vor- Dass die Stellungnahme des BfR grundsätzlich Urhe- würfe berechtigt sind. berrechtsschutz genießen kann, war vor dem OLG nicht Das Gericht sah die Veröffentlichung auch als verhält- mehr streitig. Nach Auffassung des Gerichts ist eine nismäßig an. Bei der zugrundeliegenden Abwägung Veröffentlichung dennoch aus verschiedenen Gründen hatte es einbezogen, dass die Berichterstattung ein das zulässig: öffentliche Interesse besonders berührendes Thema Als „amtliches Werk“ nach § 5 Abs. 2 Urheberrechts- zum Inhalt hat und eine wirtschaftliche Verwertung der gesetz (UrhG) ist die Stellungnahme vom Urheber- Zusammenfassung nicht in Betracht kommt. rechtsschutz ausgenommen. Das BfR hatte über 45.000 Die Entscheidung des OLG Köln beruht damit auf den ge- IFG-Anträge erhalten und daraufhin selbst durch eine im schilderten Umständen des konkreten Falles, bei denen Bundesanzeiger veröffentliche Allgemeinverfügung ent- die Behörde eine „amtliche Information“ selbst durch schieden, jeder antragstellenden Person das Dokument Veröffentlichung zu einem „amtlichen Werk“ im Sinne über die Internetseite des BfR zur Verfügung zu stellen. des § 5 UrhG gemacht hat und eine Berichterstattung Das OLG ging davon aus, dass die Behörde das Werk zu Tagesereignissen unter Offenlegung des Dokuments damit im amtlichen Interesse zur allgemeinen Kenntnis- zulässig war. Über den Einzelfall hinaus macht das Urteil nahme veröffentlicht und ein amtliches Werk geschaffen des OLG Köln deutlich, dass Behörden sich zumindest hat. Einschränkende Erklärungen und Restriktionen nicht pauschal und schrankenlos auf das Urheberrecht des Zugriffs sollen daran nichts ändern. Auch ein – nach berufen können, um die weitere Veröffentlichung und Urteil des Bundesgerichtshofs vom 20. Juli 2006 (Az.: I Verwertung amtlicher Informationen zu beschränken. ZR 185/03) dafür erforderliches – spezifisches Verbrei- tungsinteresse bejaht das OLG vor dem Hintergrund der Die Revision gegen die Entscheidung wurde nicht hohen gesellschaftspolitischen Bedeutung der Informati- zugelassen. Die Entscheidung ist allerdings noch nicht on, welche die Auswirkungen des Pflanzenschutzmittels rechtskräftig, da Nichtzulassungsbeschwerde beim Bun- auf Umwelt und Gesundheit betrifft. Ob bereits die erste desgerichtshof eingelegt wurde. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 79",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p79-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 80,
"content": "7.3 Open Government Partnership und Heimat (BMI) und die Länder Baden-Württemberg und Nordrhein-Westfalen entwickeln eine Plattform, auf Der 3. Nationale Aktionsplan Deutschlands als Mit- der Open-Source-Projekte verzeichnet und zur öffentli- glied der Open Government Partnership (OGP) wurde chen Bearbeitung und Weiterentwicklung bereitgestellt beschlossen. Er enthält insbesondere auf Bundesebene werden können. Zusammen mit der Hansestadt Bremen zahlreiche Selbstverpflichtungen für offenes Regie- beabsichtigt das BMI ferner, einen zentralen nationalen rungs- und Verwaltungshandeln. Bekanntmachungsservice für öffentliche Auftragsverga- Die OGP ist eine internationale Initiative zur Förderung ben einzurichten. des offenen Regierungs- und Verwaltungshandelns. Die Ich unterstütze die Leitgedanken und die Ziele der OGP Mitgliedsstaaten verpflichten sich u. a. Transparenz, ausdrücklich. Auch künftig sollten neben der Weiter- Teilhabe, Zusammenarbeit und Innovation in den jewei- entwicklung der Digitalisierung besonders die Aspekte ligen Ländern zu fördern. Um dieser Verpflichtung nach- Transparenz und Open-Data gefördert werden. zukommen, werden in sog. „Nationalen Aktionsplänen“ (NAP) Projekte und Vorhaben als „Selbstverpflichtung“ beschrieben und niedergelegt. An der Entwicklung der NAP sind neben Bund und Ländern auch zivilgesell- 7.4 Formatwahlrecht: schaftliche Akteure beteiligt. Die NAP und die Umset- Ja oder Nein? zung der enthaltenen Selbstverpflichtungen werden von einer unabhängigen Stelle evaluiert. Ein Recht auf die Wahl des Formats der Bereitstellung amtlicher Informationen besteht dann nicht mehr, Im Berichtsjahr wurde der Abschlussbericht über die wenn die Informationen bereits in einem anderen Umsetzung des 2. NAP für die Jahre 2019 bis 2021 von Format (vollständig) zugänglich sind. der Bundesregierung beschlossen. Zudem wurde bereits der 3. NAP für die Jahre 2021 bis 2023 beschlossen, der Ein Petent bat mich um Vermittlung, weil er sein Recht insgesamt vierzehn Selbstverpflichtungen enthält. Ne- auf Informationszugang durch das Bundesamt für ben der Selbstverpflichtung, eine Web-basierte Plattform Sicherheit in der Informationstechnik (BSI) als verletzt zu errichten, die Informationen über Planungs- und ansah. Genehmigungsverfahren großer Infrastrukturvorhaben Gegenstand des Informationszugangsantrages war die des Bundes im Verkehrssektor öffentlich zugänglich ma- Herausgabe des IT-Grundschutz-Kompendiums 2021 chen soll, ist beispielsweise auch die Intensivierung der in einem maschinenlesbaren Format. Im Rahmen des Aktivitäten des Kompetenzzentrums Open Data (CCOD) Vermittlungsverfahrens präzisierte der Petent den An- im Bundesverwaltungsamt als eigener Punkt enthalten. tragsgegenstand dahingehend, dass er die Bereitstellung Das CCOD unterstützt und berät die Bundesbehörden bei des Dokuments in einer XML-Version wünschte. Das der Bereitstellung von offenen Daten. Der NAP sieht die BSI lehnte den Informationszugang unter Verweis auf langfristige Etablierung von Fachkonferenzen und den § 9 Abs. 3 IFG ab, da auf der Internetseite des BSI eine verstärkten Wissensaustausch zwischen den Behörden, PDF-Version des Grundschutzkompendiums zur Verfü- der Wissenschaft, der Wirtschaft, den Ländern und der gung stehe. Der Petent bat mich um Prüfung, ob ihm Zivilgesellschaft, vor. In der Verantwortung des Bundes- nicht doch eine XML-Version zur Verfügung zu stellen ministeriums der Justiz und für Verbraucherschutz wird sei. ein Konzept für ein Rechtsinformationsportal des Bun- des erarbeitet, auf dem digitale Rechtsinformationen zur Die Frage, ob man als Antragsteller in einem IFG-Verfah- Verfügung gestellt werden sollen. ren ein Recht auf Bestimmung des (Datei-)Formats hat in dem die begehrten Informationen zur Verfügung gestellt Drei Projekte des NAP werden von Bundesländern in werden, ist immer wieder Gegenstand von Eingaben. eigener Verantwortung betreut. Hamburg hat sich zur Das Recht zur Bestimmung der „Art des Informationszu- Entwicklung von Softwareprodukten für die Bearbeitung gangs“ nach § 1 Abs. 2 Satz 2 IFG umfasst grundsätzlich von digitalen Beteiligungsverfahren im Bereich der auch das Wahlrecht hinsichtlich des Dateiformates (vgl. räumlichen Planung und Planfeststellung verpflichtet. 2. TB zur Informationsfreiheit, Nr. 4.14.3), wonach dem Nordrhein-Westfalen will Rahmenbedingungen für die Petenten die beantragte XML-Version herauszugeben Bereitstellung von offenen Daten von Unternehmen der gewesen wäre. Daseinsvorsorge und von Wahldaten schaffen und – als drittes Länderprojekt – zusammen mit Sachsen ein lan- Im vorliegenden Fall war die Ablehnung des Antrags desweites Beteiligungsportal entwickeln. Zwei Vorhaben durch das BSI aber dennoch nicht zu beanstanden, da entstehen in Kooperation des Bundes mit einzelnen Bun- die Informationen in der XML-Version nicht über die der desländern. Das Bundesministerium des Innern, für Bau PDF-Version hinausgingen. Soweit meinem Haus eine 80 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p80-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 81,
"content": "Prüfung möglich war, bestanden Unterschiede lediglich insbesondere NGOs gegenüber – wie bereits erwähnt hinsichtlich der in der XML-Version zusätzlich enthalte- – unter völlig unnötigen kurzen Fristsetzungen, die die nen Metadaten. Transparenz konterkarieren, weil nur noch theoretische eine Beteiligung möglich ist. Hier muss es eine Rück- Ein Formatwahlrecht bestand daher nicht (mehr), soweit kehr zu den vorgesehen Fristen geben. die begehrten Informationen bereits in einem anderen Format in zumutbarer Weise aus allgemein zugänglichen Quellen beschafft werden konnten. Anders dürfte indes zu entscheiden sein, wenn die Dateiformate inhaltliche 7.6 Beanstandung des BMVI Unterschiede aufweisen würden. wegen der Verweigerung des Ungeachtet dessen würde ich es begrüßen, wenn die Informationszugangs ohne Grund Bereitstellung von amtlichen Informationen – auch un- Das Bundesministerium für Verkehr und digitale Infra- ter Open-Data Gesichtspunkten – in unterschiedlichen struktur (BMVI) verweigerte die Herausgabe der E-Mail Formaten erfolgen würde. Kommunikation zwischen Bundesminister Scheuer und dem Leiter für Strategisches Medienmanagement ohne 7.5 Transparenz im tragfähige rechtliche Begründung. Dieses Vorgehen habe ich förmlich beanstandet. Gesetzgebungsverfahren Ein Petent bat das BMVI um Informationszugang zum Die Erhöhung der Transparenz in Gesetzgebungsver- kompletten E-Mail-Verlauf zwischen dem Leiter für Stra- fahren ist weiterhin erklärtes Ziel der Bundesregierung. tegisches Medienmanagement des BMVI und Bundesmi- nister Scheuer hinsichtlich der Veröffentlichung eines Im November 2018 wurde die Vereinbarung zur Er- Presseartikels zur sog. Maut-Affäre. Den Antrag lehnte höhung der Transparenz in Gesetzgebungsverfahren das BMVI unter Verweis auf den Versagungsgrund des durch die Bundesregierung beschlossen. Das Bun- § 3 Nr. 1 lit. g) IFG ab. Nach Auffassung des BMVI stand deskanzleramt hat im Herbst 2020 alle Ressorts zum dem Informationszugang das laufende Verfahren eines Umsetzungsstand befragt. Das Ergebnis dieser Umfrage parlamentarischen Untersuchungsausschusses entge- im Ressortkreis zeigt vielversprechende Ansätze. Viele gen. Im Bescheid führte das BMVI aus, dass der Begriff Ressorts arbeiten schon jetzt früh und aktiv mit den zu des Verfahrens beim o. g. Ausnahmetatbestand umfas- beteiligenden Akteuren zusammen. Die Einleitung der send sei. Diese Norm bezwecke, die Tätigkeiten der Insti- Länder- und Verbändebeteiligung bei Referentenentwür- tutionen der Rechtspflege zu schützen. Parlamentarische fen wird immer öfter (auch) online bekannt gegeben. Untersuchungsverfahren fielen nach Artikel 44 GG unter Die Erfahrungen dabei sind regelmäßig positiv. die dritte Fallgruppe des § 3 Nr. 1 lit g) IFG. Der Untersu- Auf ihrem Internetauftritt unter www.bundesregierung.de chungsausschuss habe ein klares Aufklärungsziel. Auf- hat die Bundesregierung Unterseiten zu Gesetzesvorha- gabe des Ausschusses sei es laut Beschluss des Bundes- ben und zur Beteiligung eingerichtet. Unter „Gesetzes- tages, die Vorgänge rund um die Infrastrukturabgabe für vorhaben der Bundesregierung“ sind Links und Hinwei- Personenkraftwagen „unter vertraglichen, rechtlichen, se zu geplanten „Rechtsakten“ der Bundesministerien insbesondere verfassungsrechtlichen, haushälterischen und der EU-Kommission eingestellt. Unter „Beteiligung und politischen Gesichtspunkten“ zu untersuchen. Dabei auf Bundesebene“ können laufende und abgeschlossene erhebe er Beweise, die für die Sachverhaltsaufklärung Beteiligungen auf Bundesebene eingestellt werden, so und Wahrheitsfindung für erforderlich erachtet werden. dass die Öffentlichkeit oder Fachöffentlichkeit anlassbe- Gemäß § 17 Untersuchungsausschussgesetz komme zogen die Möglichkeit hat, ihre Ideen, Meinungen oder der Untersuchungsausschuss auf der Grundlage seiner Reaktionen einzubringen. Die einzelnen Gesetzgebungs- Beweiserhebung zu Schlussfolgerungen. Die erbete- und Beteiligungsverfahren seien auf diese Weise schnell nen E-Mails seien insofern Beweismittel des laufenden und einfach auffindbar. Gesetzgebungsprozesse würden Untersuchungsausschuss-Verfahrens und in Erfüllung transparent und die Beteiligung der Zivilgesellschaft entsprechender Beweisbeschlüsse an den Ausschuss gestärkt. übersandt worden. Ich begrüße diese Bemühungen zur Stärkung der Der E-Mail-Verlauf sei dabei nur ein kleiner Teil aller Transparenz im Gesetzgebungsverfahren und ermun- Beweismaterialien. Eine Veröffentlichung ohne Bezug tere ausdrücklich zu weiteren Schritten. Leider leidet zur großen Menge der weiteren Beweismaterialien – das Gesetzgebungsverfahren gegenüber den Beteiligten insgesamt seien dem Untersuchungsausschuss bislang außerhalb des Ressortskreises, also auch dem BfDI und rund eine Millionen Seiten Dokumente übermittelt Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 81",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p81-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 82,
"content": "worden – könne zu einer „verzerrten Wahrnehmung in stoß gegen das IFG – nicht vorgelegen habe. Die wieder- der Öffentlichkeit führen und dadurch die Sachverhalts- holt vorgetragene und wenig überzeugende Argumenta- aufklärung und Wahrheitsfindung der Ermittelnden tion des BMVI teile ich weiterhin nicht. nachteilig beeinträchtigen bzw. beeinflussen“. Nach meiner Auffassung lag ein Versagungsgrund für den Informationszugang entgegen der Ansicht des BMVI 7.7 IFG – „Konkurrenz“ für den nicht vor. Insbesondere war ein Versagungsgrund nach Buchhandel? § 3 Nr. 1 lit. g) IFG nicht gegeben. Dieser Ausschlusstat- Die Ablehnung eines IFG-Antrags, der auf elektronische bestand erlaubt die Verweigerung des Informations- Übermittlung eines frei im Handel erhältlichen Buches zuganges, wenn das Bekanntwerden der Information nachteilige Auswirkungen auf die Durchführung eines gerichtet war, war zulässig. laufenden Gerichtsverfahrens, den Anspruch einer Der Petent wandte sich mit seinem Antrag auf Infor- Person auf ein faires Verfahren oder die Durchführung mationszugang an die Deutsche Nationalbibliothek. Er strafrechtlicher, ordnungswidrigkeitsrechtlicher oder beantragte elektronischen Zugang zu einem Buch, das zu disziplinarischer Ermittlungen haben kann. diesem Zeitpunkt sowohl direkt über den Verlag als auch Entgegen der Auffassung des BMVI fallen Parlamentari- frei im Handel zu erwerben war. Zudem bestand die sche Untersuchungsverfahren nach Art. 44 GG grund- Möglichkeit, es in den Lesesälen der Deutschen Natio- sätzlich nicht unter § 3 Nr. 1 lit. g) IFG. nalbibliothek einzusehen. Während im Strafverfahren die Verwirklichung eines Die Deutsche Nationalbibliothek lehnte den IFG-Antrag bestimmten, fest umrissenen Tatbestandes im Hinblick ab und berief sich dafür auf § 9 Abs. 3 IFG. Nach dieser auf die individuelle Schuld einer Person durch das Regelung kann der Informationszugang abgelehnt Gericht geprüft wird, geht es in dem Verfahren eines werden, wenn die begehrte Information in zumutbarer Untersuchungsausschusses um die Aufklärung eines Weise aus allgemein zugänglichen Quellen beschafft Sachverhalts zu politischen Zwecken in Wahrnehmung werden kann. Vor dem Hintergrund der verschiedenen der Kontrollfunktion des Parlaments. Als Instrument Möglichkeiten, das Buch zu kaufen oder sich von seinem und essentielles Organ parlamentarischer Kontrolle übt Inhalt Kenntnis zu verschaffen, konnte ich die Argumen- ein Untersuchungsausschuss keine rechtsprechende tation der Deutschen Nationalbibliothek nachvollziehen. Gewalt aus, auch wenn das Verfahrensrecht des Aus- Nach § 4 Abs. 2 des Gesetzes über die Deutsche National- schusses Befugnisse des Strafverfahrensrechts entlehnt. bibliothek (DNBG) stehen die Bestände der Bibliothek Ein Parlamentarischer Untersuchungsausschuss führt der Allgemeinheit gemäß einer Benutzungsordnung ferner keine strafrechtlichen, ordnungswidrigkeitsrecht- zur Verfügung. Die Benutzung der Bestände sowie die lichen oder disziplinarischen Ermittlungen und unter- Inanspruchnahme von Dienstleistungen der Bibliothek fällt auch daher nicht der dritten Fallgruppe des § 3 Nr. 1 sind nach § 4 Abs. 2 S. 1 DNBG allerdings grundsätzlich lit. g) IFG. kostenpflichtig. Ob es sich hierbei um eine spezielle und Der Hinweis des BMVI, dass einem Ausschuss, ähn- deshalb gegenüber dem IFG vorrangige „Regelung in an- lich einem Strafgericht, ein Auftrag zur retrospektiven deren Rechtsvorschriften über den Zugang zu amtlichen sachlichen wie wahrheitsgemäßen Aufklärung eines Informationen“ im Sinne des § 1 Abs. 3 IFG handelt, Sachverhalts mit Mitteln des Strafprozesses obliege, konnte in diesem Fall offen bleiben. Denn im Ergebnis kann darüber nicht hinweghelfen. Auch bei diesem würde auch dies dazu führen, dass ein Informationszu- Argumentationsversuch wird verkannt, dass der Unter- gangsanspruch nach dem IFG verneint werden müsste. suchungsausschuss weder von seiner verfassungsrecht- Auch der Umstand, dass es sich offenbar um ein urhe- lichen Organisation noch seiner verfassungsrechtlichen berrechtlich geschütztes – allerdings bereits veröffent- Aufgabenstellung und Kontrollfunktion ein strafverfah- lichtes – Werk handelte, brauchte nicht näher betrachtet rensrechtliches Organ darstellt. zu werden, da die Ablehnung bereits auf Grundlage von Eine Rechtfertigung der Versagung des Informationszu- § 9 Abs. 3 IFG nicht zu beanstanden war. ganges war damit im Ergebnis nicht ersichtlich, so dass Der Fall zeigt exemplarisch: Der Buchhandel braucht ich die Versagung des Informationszugangs beanstandet eine „Konkurrenz“ durch das IFG nicht zu befürchten, habe. sofern es um nicht vergriffene Werke geht. Das BMVI wies meine Beanstandung mit Nachdruck zurück, weil nach dortiger Ansicht die Voraussetzung für eine Beanstandung – nämlich ein objektiver Rechtsver 82 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p82-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 83,
"content": "7.8 Stiftungsrat Bauakademie in meinen Augen nicht stichhaltig. Gutachten fließen regelmäßig in den Entscheidungsprozess ein und sind Die Argumente für die Ablehnung eines Antrags auf Zu- diesem vorgelagert. Sofern ausnahmsweise eine so enge gang zu Dokumenten zur Gründung der Bundesstiftung Verknüpfung des Gutachtens mit dem Entscheidungs- Bauakademie waren nicht überzeugend. prozess gegeben ist, bedarf dies einer eingehenden Dokumente zum Gründungsprozess der Bundesstiftung Begründung, die das BMI hier nicht nachvollziehbar ge- Bauakademie waren Gegenstand eines Vermittlungsver- ben konnte. Es wurde nicht hinreichend dargetan, dass fahrens. Ein Petent begehrte von dem Bundesministeri- eine so enge Verknüpfung mit der Entscheidungsvorbe- um des Innern, für Bau und Heimat (BMI) u. a. Zugang reitung gegeben wäre, welche die Anwendung des § 4 zu Dokumenten zur Erstellung der Satzung der Bundes- Abs. 1 S. 2 IFG ausschließen könnte. Es war somit nicht stiftung Bauakademie. Ferner begehrte der Petent auch ersichtlich, dass das Gutachten Teil des behördlichen Zugang zu dem Gutachten einer Wirtschaftsprüfungsge- Entscheidungsprozesses geworden war und unmittelbar sellschaft hinsichtlich der rechtlichen Konzeption der der Entscheidungsvorbereitung diente. Dies hätte insbe- Stiftung und zu Dokumenten zur Organisation und zu sondere gegolten soweit Gegenstand des Gutachtens, wie den Aufgaben der Geschäftsstelle der Stiftungsratsvorsit- von dem Petenten vorgetragen, (größtenteils) Einschät- zenden. zungen zu der praktischen rechtlichen Ausgestaltung des bereits abgeschlossenen Verfahrens der Errichtung Das BMI lehnte den Antrag zunächst u. a. unter Hinweis der Stiftung Bauakademie gewesen wären. auf § 3 Nr. 1 lit. g IFG ab, da ein arbeitsrechtliches Ver- fahren in Zusammenhang mit dem Besetzungsverfahren Der Antrag des Petenten wurde auch im Widerspruchs- des Direktorenpostens zwar erstinstanzlich abgeschlos- verfahren abgelehnt. In der Sache ist nunmehr eine sen war, jedoch noch Berufung in der Sache eingelegt Klage aus (auch) presserechtlichem Anspruch anhängig. werden konnte. Nach meinem Hinweis im Vermittlungs- Jedenfalls das antragsgegenständliche Gutachten wurde verfahren wurde dieser Ausschlussgrund nicht mehr an- dem Petenten nach Abschluss des nochmaligen Bewer- geführt, da § 3 Nr. 1 lit. g IFG zutreffend nur dem Schutz bungsverfahrens und der Auswahl eines Gründungsdi- eines laufenden Gerichtsverfahrens und nicht eines (nur rektors zugänglich gemacht. möglichen) Rechtsmittels dient. Die Ablehnung des Informationszugangs wurde jedoch auch auf § 4 Abs. 1 IFG gestützt. Schutzgegenstand des 7.9 Umweltinformationsgesetz § 4 Abs. 1 IFG ist der behördliche Entscheidungsprozess. 7.9.1 Ombudsfunktion im Umweltinformationsrecht Das BMI begründete die Ablehnung mit dem zu diesem Zeitpunkt noch nicht abgeschlossenem Entscheidungs- Meine Behörde kann die Kontroll- und Ombudsfunk- prozess in dem (neuen) Stellenbesetzungsverfahren für tion nun auch beim Zugang zu Umweltinformationen den Gründungsdirektor oder die Gründungsdirektorin ausüben. der Stiftung, da sämtliche Dokumente Einfluss auf Im März 2021 wurde mir die Zuständigkeit für die Bera- das Stellenbesetzungsverfahren haben könnten. Eine tung und die Kontrolle rund um das Umweltinformati- Bekanntgabe der Informationen würde eine objektive onsgesetz (UIG) des Bundes übertragen. Insbesondere Personalauswahl erschweren bzw. vereiteln. wurde meine bisher lediglich für das IFG bestehende In dem pauschalen Umfang, der alle antragsgegenständ- Ombudsfunktion auf den wichtigen Bereich des Umwel- lichen Informationen umfasste, waren die Gründe für tinformationsrechts ausgedehnt. Nun kann jede Person die vollständige Ablehnung des Informationszugangs den Bundesbeauftragten für die Informationsfreiheit an- für mich nicht nachvollziehbar. Insbesondere richtete rufen, wenn sie ihr Recht auf Informationszugang nach sich der IFG-Antrag des Petenten auf Informationen zur dem Informationsfreiheitsgesetz oder dem Umweltinfor- Erstellung des Satzungsentwurfes und der rechtlichen mationsgesetz des Bundes als verletzt ansieht. Flankiert Konzeption der Stiftung. Es überzeugte mich nicht, dass wird dies durch eine erweiterte Kontrollzuständigkeiten solche Erörterungen rechtlicher Fragen das Ergebnis des für mein Haus. Die neue Zuständigkeit ergibt sich aus Personalauswahlverfahrens gefährden könnten. einer Novelle des UIG, die am 4. März 2021 in Kraft getreten ist. Hinsichtlich des Gutachtens der Wirtschaftsprüfungs- gesellschaft lehnte das BMI den Zugang ebenfalls unter Mit der Beratungs- und Kontrollzuständigkeit für den Verweis auf den Ausschlussgrund des § 4 Abs. 1 IFG Zugang zu Umweltinformationen bei den öffentlichen ab. Da es sich bei dem Gutachten um keine vom Ent- Stellen des Bundes wird meine langjährige Forderung scheidungsprozess unabhängige Vorarbeit handle, liege erfüllt. Die Bedeutung des Umweltinformationsgesetzes kein Fall des § 4 Abs. 1 S. 2 IFG vor. Die Begründung ist als Anspruchsgrundlage für den Informationszugang ist Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 83",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p83-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 84,
"content": "nicht nur vor dem Hintergrund des in den vergangenen Ferner begründete die PTB die Ablehnung des Antrages Jahren vermehrt spürbar werdenden Klimawandels mit Betriebs- und Geschäftsgeheimnissen nach § 6 IFG, gewachsen. Bislang blieb den Antragstellenden bei einer die in dem Sachverständigenbericht enthalten seien. Weigerung der angefragten Behörde, die Information Eine erfolgte Drittbeteiligung des Betroffenen habe nicht zugänglich zu machen, nur der zeit- und kostenaufwän- zu dessen Einwilligung geführt. dige Rechtsweg vor die Verwaltungsgerichte. In der vorliegenden Konstellation scheint es aber nahe- liegend, dass das Begehren des Petenten als Antrag auf 7.9.2 UIG oder IFG? Eine manchmal nicht einfache Zugang zu Umweltinformationen auszulegen ist. Die PTB Abgrenzungsfrage hat dies bestritten und darauf abgestellt, dass der Prüf- Eine informationspflichtige Behörde muss einen auf bericht sich ausschließlich mit technischen Aspekten der Grundlage des IFG gestellten Antrag auch unter eines defekten Bauteils beschäftigt, das den Austritt des dem Aspekt des UIG betrachten und umdeuten, wenn Krypton-85 verursachte. Umweltinformationen seien in Umweltinformationen Gegenstand des Antrags sind. diesen rein technischen Fragestellungen nicht zu sehen. Diese Begründung stand im Widerspruch zur Argumen- Ein Petent bat mich um Vermittlung bei einem Antrag tation hinsichtlich § 109 StrlSchV. Während dort der Be- nach dem Informationsfreiheitsgesetz (IFG) an die richt mit dem Vorkommnis in Verbindung gebracht und Physikalisch-Technische Bundesanstalt (PTB). Auf dem ihm eine strahlenschutzrechtliche Relevanz beigemes- Gelände der PTB in Braunschweig war es zu einem Aus- sen wird, die in der Emission von Strahlung begründet tritt des radioaktiven Stoffes Krypton-85 gekommen. Der liegt, wird der Bericht im Hinblick auf die Eigenschaft Vorfall stellte ein bedeutsames Vorkommnis im Sinne als Umweltinformation völlig getrennt vom Emissionser- der Strahlenschutzverordnung (StrlSchV) dar. Um die eignis betrachtet. Der weit gefasst Anwendungsbereich Ursache des Vorfalls zu ermitteln, wurde eine externe des UIG könnte hier aber dazu führen, dass der Bericht Sachverständigenorganisation beauftragt. Der Antrag als Umweltinformation anzusehen ist. des Petenten richtete sich auf Herausgabe des erstellten Berichts. Die PTB lehnte den Informationszugang ab. Sie Folgte man dieser Auffassung, würde der nach § 6 IFG sei gemäß § 109 Abs. 3 StrlSchV verpflichtet, die Ergeb- bestehenden Ausschlussgrund des Vorliegens eines Ge- nisse der Untersuchung des Vorkommnisses vor dem schäfts- oder Betriebsgeheimnisses bei der Anwendung Zugriff Unbefugter zu schützen. § 109 Abs. 3 StrlSchV des UIG nicht greifen. Gemäß § 9 Abs. 1 S. 2 UIG kann stelle eine durch Rechtsvorschrift geregelte Geheimhal- der Zugang zu Umweltinformationen über Emissionen tungsvorschrift i.S.d. § 3 Nr. 4 IFG dar. Damit bestehe nämlich nicht deshalb verweigert werden, weil durch kein Anspruch auf Informationszugang zu dem Bericht. die Bekanntgabe Betriebs- oder Geschäftsgeheimnisse zugänglich gemacht würden (§ 9 Abs. 1 S. 1 Nr. 3 UIG). Hier sehe ich noch Klärungsbedarf. Der Begriff des Un- Der Petent kann gegen den Widerspruchsbescheid der befugten ist im Strahlenschutzrecht nicht definiert. Der PTB noch Klage erheben. Ich werde den Fortgang des Begriff findet sich allerdings in verschiedenen Normen Verfahrens beobachten. des Strahlenschutzrechts. In § 109 StrlSchV wird er in Abgrenzung zu Personen verwendet, die eine Berech- tigung oder Genehmigung im Anwendungsbereich des Strahlenschutzrechts besitzen. Es könnte sich dabei also auch um eine (bloße) Regelung der internen Abläufe und Verpflichtungen des Strahlenschutzverantwortli- chen handeln, organisatorisch im eigenen Verantwor- tungsbereich dafür Sorge zu tragen, dass Unbefugte auf die genannten Aufzeichnungen keinen Zugriff nehmen können. Die Regelung würde einen Anspruch auf Zu- gang zu amtlichen Informationen nach dem IFG dann nicht ausschließen. Sie würde keine Geheimhaltungs- pflicht statuieren, sondern lediglich den Personenkreis beschränken, dem der Zugang zu den Dokumenten gestattet ist. 84 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p84-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 85,
"content": "8 Kontrollen und Beratung 8.1 Pflichtkontrollen des Kontrollgegenstands sowie die sehr vertraulich zu behandelnde speicherungsbegründende Dokumenta- Die Pandemie hat die Durchführung der gesetzlich tion erschweren diese Kontrolle im Vergleich zu einer vorgeschriebenen Kontrollen im Sicherheitsbereich Kontrolle in Präsenz beim BND erheblich. Dies führt teilweise sehr erschwert und die Bearbeitung verzögert. zu großen Verzögerungen im Ablauf. Ich beabsichtige Aufgrund der vielfach hohen Geheimhaltungsgrade der meine im Jahr 2022 wieder anstehende Kontrolle der kontrollierten Inhalte war eine Kontrolle im schriftli- ATD beim BND, sofern es die Pandemiesituation zulässt, chen Verfahren oder auch als Remote-Veranstaltung oft wieder vor Ort wahrzunehmen nicht möglich. Trotzdem konnte ich meiner Kontroll- funktion nachkommen. Kontrolle im Bundesamt für Verfassungsschutz Sowohl die Antiterrordatei (ATD) als auch die Rechts- 8.1.1 Kontrollen und Beanstandungen bei Anti-Ter- extremismusdatei (RED) wurden von mir bereits im ror-Datei (ATD) und Rechtsextremismus-Datei (RED) Jahr 2019 im Bundesamt für Verfassungsschutz (BfV) Kontrolle im Bundesnachrichtendienst kontrolliert und 2021 mit jeweils einem Kontrollbericht Die Nutzung der ATD im Bundesnachrichtendienst von mir bewertet. Inhaltlich gab es in beiden Kontrollen (BND) war Gegenstand meiner Kontrolle im Berichts- mehrere Beanstandungen, die durch das Bundesminis- jahr 2018 (s. 27. TB, Nr. 9.3.11), die im Jahr 2021 abge- terium des Innern (BMI) in einer ersten Antwort zu den schlossen werden konnte. Im Ergebnis wurden mehrere Kontrollberichten bis auf eine nicht akzeptiert werden. Beanstandungen ausgesprochen, die ich aufgrund des Das BMI vertritt dabei unterschiedliche Auffassungen Geheimhaltungsgrades des Kontrollgegenstands hier sowohl in den festgestellten Sachverhalten als auch nicht alle ausführen kann. Ein Teil der Beanstandungen in der rechtlichen Bewertung. Dieser Meinung kann bezog sich dabei auf die Art und Weise der automatisier- ich mich nur in im Fall einer konkreten Beanstandung ten Einspeicherung, die nach meiner Bewertung meine anschließen, bei der im Kontrolltermin vor Ort ein Kontrolle der Datenhistorie erheblich erschwert, wenn falscher Eindruck entstanden war. Von den insgesamt nicht gar in Einzelfällen unmöglich macht. Diese Kritik ursprünglich fünf Beanstandungen bei der ATD und den spielt auch bei anderen Beanstandungen (z. B. bei den drei bei der RED wird daher jeweils eine Beanstandung Kontrollen im Bundesamt für Verfassungsschutz) eine von mir nicht mehr aufrecht gehalten. Diese Kontrollen wesentliche Rolle. In der Vergangenheit hatte ich nur sind damit abgeschlossen. Allerdings habe ich zum Ende deswegen von Beanstandungen in diesem Zusammen- des Jahres 2021 bereits die nächste Pflichtkontrolle der hang abgesehen, weil durch das Bundesministerium ATD und der RED im BfV aufgenommen. Ich konnte des Innern, für Bau und Heimat (BMI) Abhilfe durch natürlich nicht davon ausgehen, dass alle Differenzen Neugestaltung der Datei in Aussicht gestellt wurde. Dies in der Bewertung der Kontrollsituation aus dem Jahr ist bis heute nicht geschehen. 2019 ausgeräumt werden konnten oder genug Zeit blieb, kritisierte Zustände vollumfänglich zu verbessern. Aus Zum Jahresende 2020 habe ich die regelmäßige Pflicht- meiner Sicht bleibt bei beiden Dateien die von mir kontrolle der ATD im BND begonnen. Dies geschah wiederholt auch schon vor der Kontrolle 2019 öffentlich unter den pandemiebedingten Beschränkungen mit vorgebrachte Kritik bestehen, die letztlich die Forderung dem Versuch, die Einsichtnahme in Datensätze des BND nach einer grundlegenden Umgestaltung bzw. Abschaf- und deren Speicherungsbegründung ausschließlich fung zur Konsequenz hat. in einem schriftlichen Verfahren durchzuführen. Die vergleichsweise hohen Verschlusssacheneinstufungen Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 85",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p85-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 86,
"content": " ontrolle im Bundesamt für den Militärischen K werden. Es wurden Empfehlungen ausgesprochen, die Abschirmdienst auch hier vorhandene Dokumentationsdefizite abstellen sollten. Beim Bundesamt für den Militärischen Abschirmdienst (BAMAD) stand im Berichtsjahr 2021 die regelmäßige Die regelmäßigen Pflichtkontrollen der ATD und der Kontrolle der Nutzung der RED an. Diese ausschließlich RED bei der BPol für das Jahr 2021 konnten bis zum im schriftlichen Verfahren ausgeübte Kontrolle konnte Redaktionsschluss nicht abgeschlossen werden. noch im selben Jahr ohne Beanstandung beendet wer- den. Ich empfehle dem Gesetzgeber weiterhin angesichts Kontrolle im Bundeskriminalamt des festgestellten geringen Nutzwerts von Antiterror- datei und Rechtsextremismusdatei, diese abzuschaffen. Im November 2020 habe ich die Rechtmäßigkeit der Ver- arbeitung personenbezogener Daten in der RED durch das Bundeskriminalamt (BKA) kontrolliert. Aus techni- schen Gründen befand sich in der RED zum Zeitpunkt 8.1.2 Eurodac der Kontrolle ein Doppelbestand an Einspeicherungen. Im Berichtsjahr 2020 habe ich – pandemiebedingt im Das BKA teilte im Nachgang zur Kontrolle mit, dass die- rein schriftlichen Verfahren – eine Kontrolle im Bereich ser Doppelbestand inzwischen bereinigt werden konnte. der polizeilichen Nutzung der Datenbank European Von einer Beanstandung habe ich deshalb abgesehen Dactyloscopy (Eurodac) durch das Bundeskriminalamt (vgl. § 16 Abs. 2 Satz 2 BDSG). Auch im Übrigen ergab die (BKA) eingeleitet. Diese Kontrolle wurde im Jahr 2021 Anfang 2021 abgeschlossene Bewertung keinen Grund zum Abschluss gebracht. für eine Beanstandung. Die Kontrolle der Speicherungen in der ATD und deren Nutzung durch das BKA konnte bis Über frühere Pflichtkontrollen zur Datenverarbeitung zum Redaktionsschluss nicht abgeschlossen werden. im Schengener Informationssystem (SIS), im europäi- schen Visa-Informationssystem (VIS) sowie dem europä- Kontrolle im Zollkriminalamt ischen Asylsystem Eurodac habe ich bereits in meinen Die Pflichtkontrolle der ATD beim Zollkriminalamt letzten Tätigkeitberichten informiert (vergleiche 27. TB (ZKA) habe ich im Juli 2021 durchgeführt. Prüfgegen- Nr. 9.3.5 und 28. TB Nr. 6.7.1). stand waren die vom ZKA veranlassten Speicherungen Informationen aus der Asyldatei Eurodac zum Zweck der personenbezogener Daten. Erfreulicherweise konnte Gefahrenabwehr und Strafverfolgung dürfen ausschließ- ich feststellen, dass das ZKA meine Empfehlungen aus lich von bestimmten Strafverfolgungsbehörden abge- den letzten beiden Kontrollbesuchen aufgegriffen hat. fragt werden. Die Abfragen müssen zudem im konkreten Die Speichervoraussetzungen waren in allen geprüften Einzelfall zur Aufdeckung, Verhütung oder Verfolgung Fällen nachvollziehbar dokumentiert. Daher bot auch terroristischer und sonstiger schwerer Straftaten erfor- die diesjährige Kontrolle erneut keinen Anlass für eine derlich sein. Hierbei gelten strenge Voraussetzungen. Beanstandung. Danach darf eine Eurodac-Abfrage nur erfolgen, wenn Kontrolle in der Bundespolizei vorherige Abfragen in den nationalen Fingerabdrucksys- temen und im VIS nicht zu einer Identifikation der Die Ende 2019 begonnene Kontrolle der RED bei einer betroffenen Person geführt haben (sogenannte Abfrage- ausgewählten Direktion im Bereich der Bundespolizei kaskade). (BPol) konnte 2021 abgeschlossen werden. Notwendige Nachforderungen von Unterlagen begründeten den Bei einem der geprüften Vorgänge wurde gegen Art. 20 längeren Prüfzeitraum. Wegen des Verschlussgrades der Abs. 1 Eurodac-Verordnung verstoßen, jedenfalls weil Datei kann über Einzelheiten nicht berichtet werden. die vorzuschaltende VIS-Abfrage unterlassen wurde. Die Es wurden eine Beanstandung sowie mehrere Emp- ausdrückliche Regelung in der Eurodac-Verordnung lässt fehlungen zur Behebung von Dokumentationsdefiziten das derzeit nicht zu. ausgesprochen. Wie schon in vergangenen Prüfungen Der gewählte Ermittlungsansatz mag aus Sicht der hat sich erneut gezeigt, dass aufgrund meiner Kontrol- Strafverfolgungsbehörden durchaus nachvollziehbar lankündigung eine gründliche Prüfung der Datei bei der gewesen sein. Er entsprach aber nicht den strengen verantwortlichen Stelle stattgefunden hat. Dabei wurde rechtlichen Vorgaben einer Eurodac-Abfrage durch den ein nicht unerheblicher Prozentsatz an löschreifen Da- Gesetzgeber, an die ich als Aufsichtsbehörde gebunden tensätzen identifiziert. bin. Ich habe daher eine Beanstandung nach § 16 Abs. Die Ende 2019 begonnene ATD-Kontrolle bei der BPol 2 S. 1 BDSG gegenüber dem Bundeskriminalamt (BKA) konnte im Laufe des Berichtsjahres 2020 beendet ausgesprochen. 86 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p86-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 87,
"content": "Bezüglich der unterlassenen VIS-Abfrage wurde eine Des Weiteren wurden VIS-Daten an Drittstaaten über- Sensibilisierung des entsprechenden Fachbereiches mittelt, ohne dass die Voraussetzungen des VIS-Zu- durch das BKA zugesagt. gangsbeschlusses erfüllt waren. Zudem wurden nicht alle nationalen Übermittlungsvoraussetzungen geprüft, Da ich im Rahmen meiner Prüfung auch festgestellt festgestellt und dokumentiert. habe, dass die Dokumentation der VIS-Abfragen nicht hinreichend erfolgt ist, habe ich zudem auch noch ein- In seiner Reaktion hat mir das Bundesministerium für mal meine bereits in der Vergangenheit ausgesprochene Finanzen (BMF), als Rechts- und Fachaufsicht der FIU, Empfehlung zu diesem Thema in Erinnerung gerufen die künftige Beachtung der von mir beanstandeten (vgl. 28. TB Nr. 6.7.1). Punkte und in diesem Zusammenhang eine Überarbei- tung der entsprechenden Handlungsanweisung zuge- 8.1.3 VIS sagt. Auch die Aufnahme in die Liste der abrufberechtig- ten Stellen soll veranlasst werden. Im Berichtsjahr 2020 habe ich – pandemiebedingt im rein schriftlichen Verfahren – eine Kontrolle im Bereich 8.1.4 Kontrolle der getätigten Abfragen im der polizeilichen Nutzung des Visa-Informationssys- Zollfahndungsinformationssystem INZOLL tems (VIS) bei der Financial Intelligence Unit (FIU) eingeleitet. Diese Kontrolle wurde im Jahr 2021 zum Polizeiliche Datenbanken ermöglichen mit wenig Auf- Abschluss gebracht. wand einen großen Einblick in sensible personenbezo- Über frühere Pflichtkontrollen zur Datenverarbeitung gene Daten. Umso wichtiger ist es, dass Abfragen dieser im europäischen VIS habe ich bereits in meinen letzten Systeme nur im Rahmen der dienstlichen Notwendig- Tätigkeitberichten informiert (vergleiche 27. TB Nr. 9.3.5 keit erfolgen. Dies habe ich unlängst beim Zollfahn- und 28. TB Nr. 6.7.1). dungsdienst kontrolliert. Polizeibehörden und Nachrichtendienste dürfen Daten Mit Inkrafttreten des neuen Zollfahndungsdienstgeset- aus dem VIS abrufen, wenn dies in konkreten Einzelfäl- zes (ZFdG) im April 2021 erhielt ich den Auftrag, im Rah- len erforderlich ist, um bestimmte terroristische oder men meiner Tätigkeit umfangreiche Pflichtkontrollen andere schwere Straftaten zu verhüten, aufzudecken zur Datenverarbeitung im Zollfahndungsdienst durchzu- oder zu verfolgen. führen. Diesem Auftrag bin ich im August mit einer Kon- trolle im Zollkriminalamt (ZKA) in Köln gefolgt. Gegen- Bis zum 31. März 2021 war die FIU innerhalb des Zoll- stand meiner Kontrolle waren die von Beschäftigten des kriminalamtes eingerichtet und damit entsprechend ZKA erfolgten Zugriffe auf Daten im Informationssystem der Notifizierung als zugangsberechtigte Stelle benannt. des Zollfahndungsdienstes (INZOLL). Ich konzentrierte Allerdings war die FIU auf der nationalen Liste nicht mich auf die über eine Suchmaske erfolgten Zugriffe auf gemäß Art. 3 Abs. 5 VIS-Beschluss in Verbindung mit § 2 personenbezogene Daten. Abs. 3 VISZG als ermächtigte Organisationseinheit inner- halb der zugangsberechtigten Behörde ausgewiesen. Mit einer sorgfältig ausgewählten Stichprobe war es mir möglich, einen referats- und arbeitsgruppenüber- Seit dem 1. April 2021 ist die FIU aufgrund einer zu greifenden Einblick in die getätigten Abfragen mit der diesem Zeitpunkt in Kraft getretenen Gesetzesänderung dafür angegebenen Begründung zu erhalten und den neben dem Zollkriminalamt eine eigene Direktion. Da notwendigen Zusammenhang zwischen dem jeweiligen sie durch diese Statusänderung nominell nicht mehr Bearbeitungsvorgang und der Suche in der Datenbank unter die trotzdem erforderliche Notifizierung fällt, habe herzustellen. ich zwar eine Nachnotifizierung angemahnt, jedoch auf eine weitere Beanstandung verzichtet, da im Ergebnis Insgesamt war ich mit dem Kontrollergebnis im ZKA von einer Abrufberechtigung der FIU ausgegangen zufrieden und konnte keine unberechtigten Abfragen werden konnte. feststellen. Lediglich zu einer Abfrage fehlte der Akten- rückhalt, weshalb ich die Prüfung dieses Vorgangs nicht Meine Kontrolle bei der FIU führte im Ergebnis zu zwei abschließen konnte. Trotz des guten Kontrollergebnisses Beanstandungen. habe ich dem ZKA Empfehlungen ausgesprochen, um Es wurden VIS-Recherchen durchgeführt, obwohl die sie sowohl den Arbeitsablauf der Beschäftigten bei Ab- betreffenden Personen kein Schengen-Visum benötig- fragen als auch das INZOLL-Benutzermanagement zu ten. Dabei wurde nicht hinreichend geprüft und doku- verbessern. So sollten Zugänge zum System zukünftig mentiert, weshalb davon ausgegangen wurde, dass die restriktiver vergeben und ein optimaler Prozess etabliert Vorgaben des VIS-Zugangsbeschlusses vorlagen. werden, der Arbeitsabläufe bei Personalveränderun Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 87",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p87-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 88,
"content": "gen im Umgang mit INZOLL-Zugängen regelt. Darüber 8.2 Sonstige Kontrollen hinaus halte ich es für unerlässlich, die Beschäftigten des Zollfahndungsdienstes mit detaillierten Handlungs- 8.2.1 Fragebogenkontrolle Datenschutzbeauftragte in anweisungen und Schulungen verstärkt in der Handha- Jobcentern bung von Abfragen auszubilden, um Unsicherheiten im Ich habe eine Fragebogenkontrolle bei 22 Jobcentern Umgang mit Begründungen für Suchanfragen, aber auch zur organisatorischen Stellung der Datenschutzbeauf- in der Dokumentation und Aktenführung zu beseitigen. tragten durchgeführt. An dieser Stelle möchte ich nicht unerwähnt lassen, dass Nach Art. 37 Abs. 1 DSGVO sind Jobcenter als öffentliche der erfolgreiche Kontrollablauf trotz der pandemiebe- Stellen dazu verpflichtet, eine Datenschutzbeauftragte dingten Einschränkungen auch der guten Vorbereitung oder einen Datenschutzbeauftragten zu benennen. Die und Kooperation des ZKA zu verdanken ist. oder der Datenschutzbeauftragte hat eine entscheiden- de Position innerhalb der Behörde, um die Einhaltung 8.1.5 Schengener Informationssystem datenschutzrechtlicher Vorschriften zu gewährleisten. Im Berichtsjahr 2020 habe ich eine Kontrolle im Bereich Die Stellung und Aufgaben sind in DSGVO und Bundes- der polizeilichen Nutzung des Schengener Informati- datenschutzgesetz (BDSG) geregelt. onssystems (SIS) beim Zollkriminalamt (ZKA) eingelei- Ziel der Überprüfung war die Organisation der Jobcenter tet. Diese Kontrolle wurde aufgrund der pandemischen hinsichtlich der Stellung und Aufgabenerfüllung der Da- Lage im rein schriftlichen Verfahren durchgeführt und tenschutzbeauftragten. Von besonderem Interesse war 2021 zum Abschluss gebracht. dabei, in welchem Umfang die Datenschutzbeauftragten Über frühere Pflichtkontrollen zur Datenverarbeitung zur ordnungsgemäßen Aufgabenerfüllung freigestellt im SIS habe ich bereits in meinen letzten drei Tätigkeit- sind, ob sie weisungsunabhängig handeln können, ob berichten informiert (vgl. 27. TB Nr. 9.3.5, 28. TB Nr. Interessenkonflikte bestehen und wie die Zusammenar- 6.7.1, 29. TB Nr. 9.5.1) Im SIS erfassen die Polizei- und beit sowie Unterstützung durch die Dienststelle erfolgt. Justizbehörden der Mitgliedstaaten des Schengen-Raums Bezüglich ihrer Aufgabenerfüllung wurde u. a. erfragt, Personen- und Sachfahndungen sowie Einreise- und ob die Datenschutzbeauftragten strukturierte Prüfungen Aufenthaltsverbote (zu weiteren Kontrollen und Infor- der verschiedenen Tätigkeitsbereiche durchführen oder mationen rund um das SIS II vgl. auch Nr. 8.2.7). in welcher Art und Weise die Kontrolltätigkeit anderwei- tig durchgeführt und der Beratungsauftrag wahrgenom- Meine Kontrolle beim ZKA hat keine wesentlichen men wird. datenschutzrechtlichen Defizite aufgezeigt, so dass von mir keine Beanstandung ausgesprochen werden musste. Meine Kontrolle ergab, dass in vielen Fällen die Daten- Jedoch beinhaltet mein Kontrollbericht zwei Empfeh- schutzbeauftragten nicht in ausreichendem Umfang von lungen, die u. a. Sachverhalte im Zusammenhang mit sonstigen Aufgaben freigestellt worden sind. So habe Ausschreibungsverfahren (Dokumentation und Erfor- ich in zwanzig Fällen die Empfehlung ausgesprochen, derlichkeit bestimmter Maßnahmen) betreffen. die Freistellungsquote zu erhöhen. Ich halte bei einer Beschäftigtenanzahl von 500 eine vollständige Freistel- Querverweise: lung für geboten, da ansonsten eine ordnungsgemäße 8.2.7 Datenschutzaufsicht und Beratung beim Bundes- Aufgabenerfüllung nicht möglich ist. amt für Verfassungsschutz (BfV) Defizite bestanden auch im Bereich der Abwesenheits- vertretung. Nach meiner Auffassung gehört es zur ordnungsgemäßen Aufgabenerfüllung und zur Unter- stützungspflicht durch die Dienststelle, eine Abwesen- heitsvertretung sicherzustellen. Wie die Dienststelle jedoch die Vertretung sicherstellt, ist grundsätzlich ihrer Organisationshoheit überlassen. Ich empfehle eine feste Abwesenheitsvertretung, die zumindest über grundsätz- liche datenschutzrechtliche Kenntnisse verfügt, da nur in diesem Fall die kontinuierliche Aufgabenerfüllung auch bei längerer Abwesenheit sichergestellt ist. Um eine durchgehende Vertretung sicherzustellen, wurde acht kontrollierten Jobcentern empfohlen, die Regelung 88 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p88-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 89,
"content": "der Abwesenheitsvertretung der oder des Datenschutz- sowie den unterschiedlichen fachlichen Anforderun- beauftragten zu ändern. gen im BKA gerecht werden. Bis zur Umsetzung der erforderlichen Maßnahmen würden im Bereich der Weitere Beanstandungen gab es im Bereich der Kon- Dokumentation und Aktenführung die dienstkundlichen trolltätigkeiten der Datenschutzbeauftragten. Diese Fähigkeiten im BKA weiter gestärkt und Verfahrensab- sind verpflichtet, die Einhaltung der datenschutzrecht- läufe, etwa in Bezug auf die Aussonderungsprüfung, lichen Vorschriften zu überwachen. Nur durch eine weiter optimiert. Ein Konzept zur Weiterentwicklung des umfassende strukturierte Kontrolltätigkeit, die jeden VBS sei in Erarbeitung. Geschäftsbereich des Jobcenters in regelmäßigen Abständen umfasst, ist die Einhaltung eines hohen Ich erkenne durchaus die Komplexität des Vorhabens. Datenschutzniveaus möglich. In acht Fällen habe ich die Vor diesem Hintergrund habe ich dem BKA angeboten, Empfehlung ausgesprochen, einen Jahreskontrollplan bei der Aufbereitung der datenschutzrechtlichen Prob- und entsprechende Kontrollberichte zu erstellen. So soll lemlagen im Zusammenhang mit dem VBS in Form eines sichergestellt werden, dass auch tatsächlich regelmäßige gemeinsamen Workshops zu beraten. Angesichts der er- Kontrollen jobcenterintern vorgenommen werden und heblichen Datenschutzprobleme erwarte ich allerdings, die Ergebnisse der Kontrolle dem Verantwortlichen zu- dass die Neuausrichtung des VBS beim BKA Priorität gänglich sind. So können Beanstandungen zeitnah durch hat. Den ersten gemeinsamen Workshop, der Anfang den Verantwortlichen abgestellt werden. Dezember 2021 stattfand, habe ich als konstruktiv und zielführend empfunden. Im Nachgang zur schriftlichen Kontrolle sind mir meh- rere Fälle bekannt geworden, in denen es zu Differenzen 8.2.3 Erste Anordnung gegenüber dem BKA über die Stellung und Aufgabenwahrnehmung zwischen Geschäftsführungen von Jobcentern und Datenschutzbe- Im Fall einer überlangen Speicherung habe ich das auftragten gekommen ist. Auch aus diesem Grund werde erste Mal von meiner Anordnungskompetenz nach § 69 ich diese Punkte weiterhin kontrollieren. Abs. 2 Bundeskriminalamtgesetz (BKAG) Gebrauch gemacht. Das BKA klagt dagegen. 8.2.2 Vorgangsbearbeitungssystem des Bereits vor mehreren Jahren hatte der Petent sich an Bundeskriminalamts mich gewandt, da eine Sicherheitsüberprüfung bei ihm In seinem Vorgangsbearbeitungssystem (VBS) verarbei- nicht erfolgreich verlaufen war. Das Bundeskriminalamt tet das Bundeskriminalamt (BKA) tagtäglich sehr viele (BKA) erteilte ihm keine Auskunft. Meine Überprüfung personenbezogene Daten. Dieses Informationssystem hatte ergeben, dass er polizeilich seit mehreren Jahr- entspricht nach wie vor nicht den datenschutzrechtli- zehnten und beim BKA seit 1998 als sogenannte Kontakt- chen Vorgaben. Die Beseitigung der von mir festgestell- und Begleitperson in einer Datei gespeichert ist. Rechts- ten Datenschutzprobleme gestaltet sich zäh. grundlage für die Speicherung ist § 483 Abs. 1 Satz 1 der Strafprozessordnung (StPO). Demnach darf die Straf- Im Berichtsjahr 2019 habe ich das VBS des BKA aufgrund verfolgungsbehörde personenbezogene Daten in einer mehrerer schwerwiegender Datenschutzverstöße be- Strafverfahrensdatei führen, „soweit dies für Zwecke des anstandet (vgl. 28. TB Nr. 6.7.3). Die langwierige Besei- Strafverfahrens erforderlich ist“. Leider hat der Gesetz- tigung der von mir festgestellten Datenschutzverstöße geber diese Formulierung sehr weit gefasst. Das Bundes- habe ich in meinem letzten Tätigkeitsbericht kritisiert verfassungsgericht hat diesbezüglich entschieden, dass (vgl. 29. TB Nr. 9.5.3). Mehrfach habe ich das Bundesmi- die Speicherung von Daten zu Dritten in Strafverfahren nisterium des Innern, für Bau und Heimat (BMI) darum eine spezifische individuelle Nähe der betroffenen gebeten, mir einen Zeit- und Maßnahmenplan zukom- Person zu der aufzuklärenden Gefahr oder Straftat vor- men zu lassen, wie und wann das BKA die von mir fest- aussetzt (vgl. BVerfG, Urteil vom 20. April 2016, BVerfGE gestellten Datenschutzverstöße beseitigen wird. Meinem 141, 220 (274 f. Rn. 116)). Sehr ähnlich ist dies seit 2018 Anliegen ist bislang nicht entsprochen worden. Das im BKAG (§19 Abs. 1 Nr. 3) formuliert. Auch in Dateien BMI verweist darauf, dass es sich bei der angekündigten nach der StPO ist daher aus Gründen der Verhältnismä- Neuausrichtung der Dokumentation und Aktenführung ßigkeit in verfassungskonformer Auslegung auf solche im BKA aufgrund der Überschneidungen und Kompati- eingrenzenden Merkmale zu achten, vor allem über bilitätsanforderungen mit der elektronischen Akte nach einen derart langen Zeitraum. Eine solche Nähe oder ein E-Government-Gesetz (EGovG) und der elektronischen vergleichbarer Gesichtspunkt konnten vom BKA über ei- Akte in Strafsachen um ein sehr komplexes Vorhaben nen langen Zeitraum nicht mehr dokumentiert werden, handle. Das künftige System der Dokumentation und sodass die Speicherung der betroffenen Kontakt- und Aktenführung müsse die rechtlichen Vorgaben erfüllen Begleitperson meines Erachtens unverhältnismäßig ist. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 89",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p89-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 90,
"content": "Die Auskunftsanfrage des Petenten beim BKA wurde eingriffsintensive Datenverarbeitungen bedürfen jedoch mit Hinweis auf die Auskunftsverweigerungsgründe einer spezifischen Rechtsgrundlage. Das BVerfG fordert gem. § 57 Abs. 4 i.V.m. § 56 Abs. 2 BDSG abgewiesen. Bei für eingriffsintensive Maßnahmen normenklare und meiner Prüfung kam ich jedoch zu dem Schluss, dass verhältnismäßige Regelungen. Je größer der Grund- dem Petenten ein Auskunftsrecht zusteht. Das BKA hatte rechtseingriff, desto genauer muss der Gesetzgeber die mir keine tragfähigen Gründe benannt, nach denen die Voraussetzungen und Eingriffsschwellen regeln. Welche Aufgabenerfüllung und die öffentliche Sicherheit durch verfassungsrechtlichen Anforderungen an die tatbe- die Erteilung der Auskunft gefährdet wären. standliche Eingrenzung der jeweiligen Eingriffsbefug- nis zu stellen sind, richtet sich vor allem nach Art und Vor diesem Hintergrund habe ich die Speicherung Schwere des Grundrechtseingriffs. Dafür sind insbeson- des Petenten als Kontakt- und Begleitperson sowie die dere Eingriffsintensität und Streubreite maßgeblich, die unterlassene Beauskunftung gemäß § 16 Abs. 2 BDSG im Verhältnis dazu an bestimmte Einschreitschwellen beanstandet. Schon zuvor hatte der Petent selbst gegen geknüpft sein müssen. Es kommt insbesondere darauf das BKA Klage auf Auskunft und Löschung seiner Daten an, ob die Betroffenen selbst einen Anlass für den Ein- erhoben. Meine Beanstandung wurde vom Bundesmi- griff gegeben haben (vgl. BVerfGE 100, 313, 376; 115, 320, nisterium des Innern, für Bau und Heimat (BMI) als Auf- 347; 109, 279, 353). sichtsbehörde des BKA zurückgewiesen. Daher habe ich nunmehr gegenüber dem BKA gemäß § 69 Abs. 2 BKAG Der Zentralstellengeneralklausel des § 7 BKAG a.F. angeordnet, den Datensatz des Petenten zu sperren, ihm kommt insofern nur die Funktion einer informationellen eine Auskunft zu erteilen und nach Abschluss seines Verzahnung und Koordinierung zu. Die Vorschrift kann Klageverfahrens die Daten zu löschen. Das BMI bestrei- schwerer wiegende Grundrechtseingriffe aufgrund ihrer tet meine Kompetenz, eine Löschung anzuordnen und zu weiten und zu pauschalen Fassung nicht rechtfertigen beruft sich insofern auf die Gesetzesbegründung zum (so auch Bäcker, Terrorismusabwehr durch das Bundes- BKAG. Meiner Ansicht nach ist das BKAG an dieser Stelle kriminalamt, 2009, S. 22). Diese Sichtweise sehe ich nun jedoch europarechtskonform auszulegen. Die JI-Richtli- in dem Beschluss des Bundesverfassungsgerichts vom nie sieht in Art. 47 Abs. 2 Buchstabe b) eine entsprechen- 27. Mai 2020 (BVerfGE 155, 119) bestätigt. Dort hat das de Kompetenz für die nationalen Aufsichtsbehörden Gericht festgehalten, dass das Bundeskriminalamt als explizit vor („insbesondere durch die Anordnung der Be- Zentralstelle im Wesentlichen auf die Wahrnehmung richtigung oder Löschung personenbezogener Daten“). von Koordinationsaufgaben beschränkt ist (Rn. 209). Das BKA hat gegen meine Anordnung Klage erhoben. Auch § 16 Abs. 1 und Abs. 4 BKAG können hier nicht Eine Entscheidung liegt noch nicht vor. herangezogen werden. § 16 Abs. 1 BKA befugt das BKA, Daten, die es im Zusammenhang mit der Erfüllung einer 8.2.4 Funkzellendatenbank des Bundeskriminalamts bestimmten gesetzlichen Aufgabe erhoben hat, auch für Nach ständiger Rechtsprechung des Bundesverfas- die Erfüllung einer anderen Aufgabe weiter zu verarbei- sungsgerichts (BVerfG) dürfen bestimmte intensive ten. Vorliegend entbehrt jedoch schon die (erstmalige) Grundrechtseingriffe nur zum Schutz bestimmter Erhebung der Funkzellendaten durch das BKA einer Rechtsgüter bzw. erst von bestimmten Verdachts- oder gesetzlichen Rechtsgrundlage. Vor allem aber handelt es Gefahrenstufen an vorgesehen werden. Entsprechende sich bei § 16 Abs. 1 BKAG um eine Grundnorm, die das Eingriffsschwellen sind durch eine gesetzliche Rege- BKA in die Lage versetzen soll, personenbezogene Daten lung zu gewährleisten (BVerfGE 120, 274 [326 f.]). Dieses zur Erfüllung seiner Aufgaben zu verarbeiten. Insofern verfassungsrechtliche Postulat wurde vom Bundes- ist die Norm im vorliegenden Zusammenhang denselben kriminalamt (BKA) wiederholt unterlaufen. Für den Einwänden ausgesetzt wie § 7 Abs. 1 BKAG (a.F.). Betrieb einer Datenbank zum Abgleich von Funkzellen- Daher war ich sehr verwundert, dass das BKA bereits daten fehlt es an einer tauglichen Rechtsgrundlage. seit 2019 eine Datenbank für die Speicherung und den Im Berichtszeitraum des 27. Tätigkeitsberichts habe Abgleich von Funkzellendaten betreibt; eine Informa- ich eine Datei beanstandet, in der das BKA Daten aus tion die ich übrigens erst nach mehrfachen Nachfra- Funkzellenabfragen aus einer Vielzahl von Verfahren gen erhalten habe. Dies habe ich zum Anlass für eine aus verschiedenen Bundesländern speicherte (vgl. 27. Kontrolle genommen. Zum Stichtag 6. September 2021 TB Nr. 9.3.6.2). In dieser Datei glich das BKA personen- enthielt die Datendank 99.880.125 Datensätze. Solch bezogene Daten ab, die die Strafverfolgungsbehörden in intensive Eingriffe in die Grundrechte der betroffenen Bund und Ländern durch Funkzellenabfragen erhoben Personen können im Einklang mit der oben zitierten hatten. Gestützt wurde die Datei auf die Generalklausel Rechtsprechung weder auf § 7 Abs. 1 i.V.m. § 2 Abs. 1 in § 7 BKAG a.F. (Zentralstellenaufgabe). Besonders und 2 BKAG a.F. noch auf § 483 Abs. 1 Strafprozessord 90 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p90-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 91,
"content": "nung gestützt werden. Mangels ausreichender Rechts- 19 BKAG geprüft, welche der speziellen Regelung nach grundlage verstoßen die Datenspeicherung und der § 16 Abs. 5 Nr. 2 lit. a) fast wortgleich entspricht. Daher Datenabgleich in der betriebenen Datenbank gegen den bin ich aus datenschutzrechtlicher Sicht damit einver- Gesetzesvorbehalt und sind damit nicht rechtmäßig. Ich standen, dass für eine Prognoseentscheidung zu den habe sie als solche beanstandet. Das Bundesministerium ED-Daten auf die allgemeine Dokumentation für §§ 18, des Innern und für Heimat und das Bundeskriminalamt 19 BKAG verwiesen wird. Teilweise beschränkte sich die sind meiner Auffassung entgegengetreten. Negativprognose allerdings auch insoweit auf die Wiederholung des reinen Gesetzeswortlauts. Faktisch 8.2.5 Verarbeitung erkennungsdienstlicher Daten durch fehlt es daher an dokumentierten Prognoseentscheidun- das Bundeskriminalamt in INPOL-Z gen, so dass ich diese Fälle beanstandet habe. Im Jahr 2011 hatte ich die Speicherung erkennungs- dienstlicher Daten (ED-Daten) durch das Bundeskri- minalamt (BKA) im bundesweiten zentralen polizeili- chen Informationssystem (INPOL-Z) kontrolliert und Bereits in früheren Tätigkeitsberichten habe ich mich Nachbesserungen empfohlen (vgl. 24. TB Nr. 7.4.3). Den zu den Anforderungen an eine sog. Negativprognose aktuellen Stand des Bereinigungsprozesses habe ich in geäußert (vgl. 26. TB Nr. 10.3.2). Mit der Prognoseent- einem Beratungs- und Kontrollbesuch geprüft. scheidung muss die Erwartung eines Strafverfahrens gegen eine betroffene Person schriftlich dokumentiert Das BKA betreibt das bundesweite zentrale polizeili- werden, so dass sie gerichtlich voll überprüfbar ist. che Informationssystem INPOL-Z. In der sogenannten Fehlt es an dieser Dokumentation, ist die Speicherung „E-Gruppe“ sind darin erkennungsdienstliche Da- rechtswidrig. ten, beispielsweise Fingerabdrücke, gespeichert. Die datenschutzrechtliche Verantwortung für diese Daten tragen die Landespolizeibehörden, die sie in das System einspeichern. Aktueller Stand des Lösch-und Bereinigungs Ursprünglich hatte das BKA diese Daten der Länderpo- verfahrens von ED-Daten lizeien auch dann weitergespeichert, wenn das verant- wortliche Land sie bereits gelöscht hatte. Später wurde In INPOL-Z ist die Funktion der „Löschung mit Besit- diese Verfahrensweise vom BKA geändert und ED-Daten zübertragung“ implementiert worden. Dadurch kann nur dann weitergespeichert, wenn eigene Erkenntnisse eine E-Gruppe einem anderen Land zur eigenverant- vorlagen, die eine eigene Weiterspeicherung rechtfertig- wortlichen Weiterspeicherung angeboten werden. Nach ten. Bei meiner Prüfung dieser weiteren Speicherung im meiner Auffassung ist es dabei nunmehr technisch aus- Jahr 2011 war ich zu dem Ergebnis gekommen, dass eine geschlossen, dass eine Übertragung „gegen den Willen“ solche nur dann rechtmäßig ist, wenn ihr eine schrift- eines potentiellen neuen Besitzers erfolgen kann. lich dokumentierte Prognoseentscheidungen über eine Als Auswirkung meiner Kontrolle in dem Jahr 2011 wur- weitere Speicherung getroffen wurden (sog. Negativpro- de zudem die Funktionalität der „Identifizierung mittels gnosen) zu Grunde liegt (vgl. 24. TB Nr. 7.4.3). „FastID“ in INPOL eingeführt. Eine entsprechende Funk- tionalität hatte ich seinerzeit aufgrund meiner Kontrolle Negativprognosen angeregt. Auf diese Weise kann ein INPOL Teilnehmer Bei einer aktuellen Überprüfung der Umsetzung meiner sich die in der E-Gruppe gespeicherten Daten aus einer diesbezüglichen Vorgaben musste ich feststellen, dass ED-Behandlung „zu Eigen“ machen, indem er lediglich in einigen Fällen die erforderlichen Negativprognosen vier Finger einscannt und mit der Fingerabdruck-Daten- nicht vorlagen. Hierzu habe ich Stichproben von aus- bank AFIS abgleicht. Im Trefferfall wird nur ein einge- gewählten Fällen geprüft, in denen das BKA von einer schränkter Datensatz gespeichert, an den dann später Landesbehörde eingestellte und mittlerweile nicht mehr die E-Gruppe des „den Besitz aufgebenden“ anderen benötigte Daten weitergespeichert hat. Landes angehängt wird. Durch diese neue Funktion kann auf weitere ED-Behandlungen verzichtet und dem Das BKA teilte mir noch vor der Kontrolle mit, speziell Grundsatz der Datensparsamkeit Rechnung getragen für die ED-Daten in keinem der Fälle eine schriftlich werden. Ende des Jahre 2020 ist zudem ein automatisier- dokumentierte Prognoseentscheidung getroffen zu tes Fristlöschverfahren in Betrieb genommen worden. haben, obwohl das BKA Gesetz (BKAG) eine spezielle Negativprognose zu erkennungsdienstlichen Daten (§ 16 Zum Lösch- und Bereinigungsverfahren habe ich keine Abs. 5 Nr. 2 lit. a) fordert. Vor Ort habe ich daher mit grundsätzlichen datenschutzrechtlichen Bedenken. Posi- Blick auf eine allgemeine Negativprognose nach §§ 18, tiv möchte ich erwähnen, dass bereits mehr als 4.5 Mio. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 91",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p91-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 92,
"content": "E-Gruppen gelöscht wurden, die das BKA als Besitzer Ich habe das BMI kurz vor Redaktionsschluss um Stel- von den Ländern ohne Negativprognose übernommen lungnahme zu meinem Bericht über den Beratungs- und hatte (vgl. 24. TB Nr. 7.4.3). Die im BKA noch verbleiben- Kontrollbesuch gebeten, weshalb noch keine Stellung- den 70.000 E-Gruppen werden derzeit geprüft. Ich habe nahme vorliegt. das BKA gebeten, den Altbestand bis zum 31. Dezember 2022 zu bereinigen. 8.2.6 Datenschutzaufsicht und Beratung beim Bundes- amt für den Militärischen Abschirmdienst (BAMAD) Strukturelle Prüfung von INPOL-Anwendungen Beim BAMAD habe ich im Berichtsjahr die Pflichtkont- In INPOL-Z werden Vor- und Nachnamen in einem rolle der Datenverarbeitungen im Zusammenhang mit gesonderten Bereich, der sog. P-Gruppe, gespeichert. Ausschreibungen im Schengener Informationssystem Aliasnamen werden ebenfalls gesondert gespeichert, der 2. Generation (SIS II) durchgeführt. Ferner habe nämlich in der sog. A-Gruppe. Von Dritten wurde mir ich begonnen, die Datenverarbeitungen im Bereich der gegenüber die Befürchtung geäußert, diese beiden Observation zu kontrollieren. Bereiche (bzw. Gruppen) könnten möglicherweise derart miteinander verknüpft werden, dass einer Person eine Kontrolle verdeckter Ausschreibungen im SIS II beim „kriminelle Karriere“ einer anderen Person fälschlicher BAMAD Weise zugerechnet werden würde. Diesen Hinweis habe Im dritten Quartal 2021 habe ich beim BAMAD verdeck- ich deshalb zum Anlass genommen, um diese Bereiche te Ausschreibungen im SIS II kontrolliert (zu weiteren in INPOL-Z im BKA strukturell zu prüfen. Meine Kontrol- Kontrollen und Informationen rund um das SIS II vgl. o. le hat ergeben, dass sich die Befürchtung nicht bestätigt. Nr. 8.1.5). Das BAMAD kann Ausschreibungen im SIS II veranlassen, wenn die darüber zu gewinnenden Infor- Ich habe auch noch weitere Bereiche, nämlich die mationen zur Abwehr einer von der betroffenen Person E-Gruppen und die D-Gruppen, in INPOL-Z geprüft. ausgehenden erheblichen Gefährdung oder anderer Auch hier konnte ich nicht feststellen, dass diese erheblicher Gefahren für die Sicherheit des Staates er- Gruppen in fälschlicher Weise miteinander verknüpft forderlich sind. Im Rahmen meines Beratungs- und Kon- werden. trollbesuches habe ich keinen beanstandungswürdigen ED-Datenspeicherungen aus Anlass von Sachverhalt feststellt. Dennoch habe ich Praxisempfeh- Ordnungswidrigkeiten lungen ausgesprochen, die insbesondere die Implemen- tierung oder Anpassung von Prozessabläufen sowie die Ebenso habe ich auf Bitte einer Landesdatenschutzbe- Vorgaben zur Löschung von Ausschreibungen betreffen. hörde Fälle geprüft, in denen erkennungsdienstliche Ferner habe ich das BAMAD darauf hingewiesen, dass Behandlungen aus Anlass einer Ordnungswidrigkeit auch in der Corona-Pandemie und bei laufenden Fällen durchgeführt und die Daten sodann in INPOL-Z gespei- mit einem besonderen Geheimhaltungsbedürfnis eine chert wurden. Die Kontrolle der Landesdatensätze fällt effektive datenschutzrechtliche Kontrolle sichergestellt zwar nicht in meinen Zuständigkeitsbereich, wohl aber sein muss. Die Vorbereitung der Kontrolle hatte sich für die Prüfung struktureller Fragen in INPOL. mich schwierig gestaltet, da das BAMAD die Übersen- Für die Speicherung erkennungsdienstlicher Daten dung von Unterlagen für eine von mir favorisierte rein in INPOL-Z, die aufgrund von Ordnungswidrigkeiten schriftliche Kontrolle aus Geheimschutzgründen abge- erhoben wurden, sehe ich keine rechtliche Grundlage. lehnt hatte. Ich bin aber zuversichtlich, dass derartige Das Gesetz erlaubt es nur, Daten zu Beschuldigten und Friktionen künftig vermieden werden können. Positiv Verdächtigen einer Straftat zu speichern, bei denen hervorzuheben ist die zeitnahe Reaktion des BAMAD auf zusätzlich geschilderte Negativprognosen vorliegen. meinen Kontrollbericht und die Zusicherung der kurz- Dem BKA als für die Einhaltung der INPOL-Regelungen fristigen Umsetzung meiner Verbesserungsvorschläge. verantwortliche Stelle nach § 31 Abs. 1 BKAG habe ich Kontrolle von Datenverarbeitungen im Bereich der deshalb empfohlen, zukünftig sicherzustellen, dass eine Observation Speicherung dieser Daten technisch nicht mehr umge- Im Herbst 2021 habe ich eine Kontrolle im Bereich setzt werden kann. Observation des BAMAD durchgeführt und hierbei Insgesamt verlief der Kontrollbesuch sehr kooperativ festgestellt, dass wegen des besonderen Umfangs des zu und positiv. Ich begrüße vor allem sehr, dass mich das überprüfenden Datenbestandes ein weiterer Kontrollter- BKA um einen gemeinsamen Workshop zu den gesetz- min notwendig ist. Die technologischen Möglichkeiten lich erforderlichen Prognoseentscheidungen gebeten bei der heimlichen Beobachtung von Personen oder Ob- hat, um drängende Fragen in diesem Bereich vertieft jekten entwickeln sich stetig weiter und die Gewinnung erörtern und klären zu können. sowie Verwendung von Daten mittels der Observation 92 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p92-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 93,
"content": "sind ein schwerwiegender Eingriff in die Grundrechte ichert bleiben und welche Zugriffsmöglichkeiten des der Betroffenen. Aus diesem Grund sah ich mich veran- BfV auf den Datenbestand der FIU möglich sein werden. lasst, die Einhaltung datenschutzrechtlicher Bestimmun- Ich werde dieses behördenübergreifende Projekt weiter gen beim BAMAD wie auch beim Bundesamt für Ver- begleiten. fassungsschutz (vgl. u. Nr. 8.2.7) genau zu überprüfen. Kontrolle von Recherchen in VIS Mein Augenmerk bei dieser Art der Kontrolle liegt in der Überprüfung, ob die Datenerhebung im Rahmen der Die bereits Anfang des Jahres 2020 durchgeführte getätigten Observation im konkreten Einzelfall tatsäch- Kontrolle der Recherchen des BfV im VIS (vgl. 29. TB Nr. lich zweck- und verhältnismäßig ist, die Speicherfristen 9.5.1) konnte bislang noch nicht abgeschlossen werden. eingehalten werden und ggf. eine doppelte Aktenfüh- In diesem Zusammenhang habe ich einige Verbesserun- rung vermieden wird. Aus Gründen der Geheimhaltung gen und Anpassungen der Prozesse sowie der Doku- und des Fortdauerns meiner Kontrolle kann ich hier mentation gefordert, die zum Teil auch bereits erfolgt keine weitergehenden Ausführungen machen. Über das sind. Hinsichtlich der übrigen festgestellten Mängel und Ergebnis meiner Kontrolle werde ich berichten. geforderten Datenlöschungen ist kurz vor dem Redak- tionsschluss eine Stellungnahme des BfV eingegangen, Querverweise: die nun geprüft wird. 8.1.5 Schengener Informationssystem; 8.2.7 Datenschut- Kontrolle von Datenverarbeitungen im Bereich der zaufsicht und Beratung beim Bundesamt für Verfas- Observation sungsschutz (BfV) Im Herbst 2021 hat meine Behörde eine Kontrolle im Be- 8.2.7 Datenschutzaufsicht und Beratung beim Bundes- reich Observation des BfV durchgeführt. Zuletzt wurde amt für Verfassungsschutz (BfV) dieser Bereich 2006 kontrolliert (vgl. 21. TB Nr. 5.5.2). Gerade vor dem Hintergrund der sich stetig wandelnden Beim BfV habe ich im Berichtsjahr die Datenverar- technologischen Möglichkeiten hielt ich eine erneute beitung im Bereich der Observation kontrolliert und Prüfung für angezeigt. Neue Themenfelder wurden erst- die Nachbereitung der bereits 2020 durchgeführten malig beleuchtet. Im Rahmen meines Beratungs- und Pflichtkontrollen bezüglich der Datenverarbeitungen Kontrollbesuchs konnte ich erfreulicherweise feststel- im Zusammenhang mit Ausschreibungen im Schenge- len, dass bereits meine Kontrollankündigung Anlass ner Informationssystem der 2. Generation (SIS II) sowie dafür war, einige wesentliche Prozesse im Bereich der der Recherchen im Visa-Informationssystem (VIS) Observation grundlegend zu überarbeiten und daten- fortgeführt. Im Rahmen einiger geplanter Projekte bin schutzfreundlicher zu gestalten. Außerdem konnten ich beratend tätig geworden und werde den begonne- während der Kontrolle weitere datenschutzrechtliche nen Austausch auch im kommenden Jahr fortführen. Schwachstellen identifiziert werden, deren Abstellung Erfreuliche Ergebnisse konnte ich zudem bei Beratun- bzw. Verbesserung das BfV bereits im Abschlussge- gen zu den künftigen Bescheiden des BfV im Rahmen spräch zugestanden hat. Aus Geheimschutzgründen ist von Auskunftsersuchen erzielen. eine detailliertere Darstellung hierzu nicht möglich. Der Schnittstellen zwischen Financial Intelligence Unit Kontrollbericht befindet sich zum Zeitpunkt des Redakti- (FIU) und BfV onsschlusses in der Fertigstellung. Verbund-Dokumentenmanagementsystem Besteht der Verdacht auf Geldwäsche im Zusammen- hang mit Terrorismus- oder Extremismusfinanzierung, Für den Verfassungsschutzverbund (BfV und alle Lan- werden über die FIU dem BfV die Fälle gemeldet. Durch desämter für Verfassungsschutz) und das Bundesamt für die Einrichtung von teilweise automatisierten Schnitt- den Militärischen Abschirmdienst (BAMAD) soll zukünf- stellen sollen die Übertragungswege verbessert werden. tig ein einheitliches Dokumentenmanagementsystem Die rechtlichen Grundlagen sind im Geldwäschegesetz (Verbund-DMS) eingeführt werden, das eine weitgehend bereits vorhanden. Aufgrund der Menge der Verdachts- einheitliche Vorgangsbearbeitung sowie Schnittstel- meldungen und zur schnelleren Bearbeitung bzw. Ab- lenanbindung für alle beteiligten Behörden gewährleis- klärung erscheint eine Verbesserung der Übertragungs- ten soll. Die Art der Datenverarbeitung von Dokumenten wege auch aus meiner Sicht sinnvoll. Jedoch haben sich gestaltet sich in den Behörden teilweise noch sehr unter- einige Fragen zur genauen Ausgestaltung ergeben, die schiedlich, so dass mit dem Verbund-DMS deutliche Ver- bislang durch das BfV noch nicht abschließend beant- besserungen in der Zusammenarbeit erwartet werden. wortet werden konnten. So ist noch offen, auf welche In diesem Zusammenhang bin ich 2021 gegenüber dem Weise die Bearbeitung durch das BfV genau erfolgen BfV beratend tätig gewesen und habe auf der anderen soll, wie lange bestimmte Arten von Meldungen gespe Seite auch einen engen Austausch mit den Kolleginnen Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 93",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p93-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 94,
"content": "und Kollegen der Landesdatenschutzbehörden gepflegt. Nach den Ausführungen des BVerwG reicht es im An dieser Stelle war insbesondere die datenschutzrecht- Rahmen der Ermessensausübung nicht aus, lediglich liche Einordnung des Verbund-DMS von großer Bedeu- die Suchmöglichkeiten im elektronischen Aktensystem tung und wird auch künftig weiter ausschlaggebend sowie die einzelnen Schritte bis zu einer Auskunftsertei- sein. Auch im kommenden Jahr wird eine gemeinsame lung zu Grunde zu legen. Vielmehr muss der im Ein- Beratung dieses Großprojekts des BfV erforderlich sein. zelfall erforderliche Verwaltungsaufwand abgeschätzt werden, d. h. es muss zumindest ermittelt werden, wie Kontrolle verdeckter Ausschreibungen im SIS II beim viele Aktenstücke bei einer Recherche mit dem Namen BfV der antragsstellenden Person auffindbar sind. Erst aus Im Berichtsjahr 2020 habe ich beim BfV verdeckte Aus- dieser Trefferquote kann man einen Rückschluss auf schreibungen im SIS II kontrolliert (vgl. 29. TB Nr. 9.5.1; den tatsächlichen Verwaltungsaufwand ziehen. zu weiteren Kontrollen und Informationen rund um das Auf Grund dieser beiden Entscheidungen teilte das BfV SIS II vgl. o. Nr. 8.1.5). Aufgrund der pandemiebedingten allen antragsstellenden Personen im Rahmen seiner Einschränkungen erreichte mich die Stellungnahme zu Ermessensausübung mit, wie viele Aktenstücke bei der meinem Kontrollbericht seitens des BfV erst im Früh- Recherche mit ihren Namen in Sachakten auffindbar jahr 2021. Einige datenschutzrechtliche Defizite wurden sind. Jedoch unterblieb eine weitergehende Erläuterung, behoben sowie Verbesserungsvorschläge umgesetzt, wie diese Informationen einzuordnen sind. Das BfV aber über den nach den europarechtlichen Vorschriften wies lediglich pauschal darauf hin, dass sein elektroni- des SIS zulässigen Umfangs der zwischen den beteiligten sches Aktensystem nicht feststellen kann, ob es sich bei Behörden ausgetauschten Daten besteht noch ein Dis- dem Suchwort tatsächlich um einen Personennamen sens. Eine Replik auf meine erneute Stellungnahme ging handelt und die aufgefundenen Informationen wirklich bis zum Reaktionsschluss nicht ein. Ich erwarte einen die antragsstellende Person betreffen. weiteren konstruktiven Austausch, der noch notwendige Anpassungen der Datenverarbeitungen zur Folge hat. Weil daher aufgrund der technischen Gegebenheiten je- der Treffer einzeln gesichtet und eine Identitätsprüfung Ermessensausübung des Bf V im Rahmen eines Aus- vorgenommen werden muss, lehnte das BfV regelmäßig kunftsanspruchs nach § 15 Abs. 1 Bundesverfassungs- eine weitergehende Auskunft mit Verweis auf die hohe schutzgesetz (BVerfSchG) Trefferzahl und den dadurch unverhältnismäßigen Der in § 15 Abs. 1 des BVerfSchG geregelte Auskunfts- Verwaltungsaufwand ab. Diese pauschale Aussage hat anspruch über zu ihrer Person gespeicherten Daten ist berechtigterweise zu Irritationen bei den antragsstel- das grundlegende Kontrollrecht der betroffenen Person lenden Personen geführt. Um mir selber ein Bild von gegenüber dem BfV. Er ist Voraussetzung für die effekti- den technischen Gegebenheiten zu machen, habe ich ve Ausübung weiterer Rechte, insbesondere auf Berich- im dritten Quartal dieses Jahres einen Beratungs- und tigung, Verarbeitungseinschränkung und Löschung Kontrollbesuch beim BfV durchgeführt. Dabei bestätigte personenbezogener Daten. sich der vom BfV geschilderte Verwaltungsaufwand. Im Nachgang habe ich dem BfV einen Formulierungsvor- Gemäß § 15 Abs. 1 S. 2 BVerfSchG fallen nicht nur solche schlag für einen Auskunftsbescheid unterbreitet, der die Daten unter die Auskunftspflicht, die gezielt der antrags- technischen Voraussetzungen der Suche in der elektroni- stellenden Person in einer zu ihr angelegten sog. Perso- schen Akte und den damit einhergehenden Verwaltungs- nenakte zugeordnet sind, sondern auch Daten in nicht aufwand transparenter darstellt und somit insgesamt lediglich personenbezogenen Beständen, d. h. Sachak- bürgerfreundlicher ist. ten. Dem Gesetzeswortlaut nach ist die Auskunftspflicht allerdings beschränkt sich auf „Daten, die über eine Ich freue mich daher über die Zusage des BfV, künftig Speicherung gemäß § 10 Abs. 1 auffindbar sind“, d. h. meinen Formulierungsvorschlag im Wesentlichen zu durch einen gespeicherten Nachweis von Fundstellen im übernehmen. Darüber hinaus bin ich mit dem BfV im Nachrichtendienstlichen Informationssystem (NADIS), Gespräch, welche sonstigen Verfahrensänderungen der zentralen Datei des Verfassungsschutzes. den Verwaltungsaufwand ggf. reduzieren können, um Betroffenen im Einzelfall auch eine inhaltliche Rückmel- Zu der Frage, ob und wenn ja wie das BfV in den Fällen dung geben zu können. des § 15 Abs. 1 S. 2 BVerfSchG Ermessenserwägungen anstellen muss, haben sich das OVG Nordrhein-West- Querverweise: falen (NRW) (Urteil vom 31. Juli 2019, Az. 16 A-1009/14) 8.1.5 Schengener Informationssystem und zuletzt das BVerwG (Beschluss vom 28. Juli 2020, Az. 6 B-61/19) geäußert. 94 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p94-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 95,
"content": "8.2.8 Kontrollen zum Sicherheitsüberprüfungsgesetz – Wirtschaft und Energie ausgesprochen, das das Unter- Viel „bad practice“ und ein wenig „best practice“ nehmen hinsichtlich des Geheimschutzes betreut. Mitte 2020 habe ich ein eigenständiges Referat für die Auch bei den kontrollierten Behörden gab es Anlass für Datenschutzkontrolle von Sicherheitsüberprüfungsver- Beanstandungen. Diese richteten sich unter anderem an fahren eingerichtet. So konnte ich im Jahr 2021 trotz das Bundesministerium des Innern, für Bau und Heimat COVID-19 mehr Kontrollen als in der Vergangenheit (BMI). Hintergrund waren festgestellte Datenschutz- durchführen. Die Ergebnisse zeigen, dass sich bestimm- verstöße beim Bundesamt für Bevölkerungsschutz und te festgestellte Fehler wie ein roter Faden durch fast alle Katastrophenhilfe. Eine weitere Beanstandung gegen Kontrollen ziehen, es aber auch Lichtblicke gibt. das BMI erfolgte nach einer Bürgereingabe und betraf Im Berichtszeitraum habe ich in vier Wirtschaftsunter- Datenschutzverstöße bei der Zentralen Stelle für Infor- nehmen und acht Behörden kontrolliert, ob dort die mationstechnik im Sicherheitsbereich. Des Weiteren Datenschutzbestimmungen des Sicherheitsüberprü- habe ich eine Beanstandung gegen das Bundesministe- fungsgesetzes (SÜG) eingehalten werden. rium für Verkehr und digitale Infrastruktur aufgrund datenschutzrechtlicher Verstöße der Generaldirektion Wasserstraßen und Schifffahrt ausgesprochen. Im Übrigen sind meine Feststellungen im Wesentli- Nach diesem Gesetz werden alle Personen überprüft, die an ihrem Arbeitsplatz im öffentlichen Dienst oder chen vergleichbar mit den Verstößen, die ich bereits in einem Privatunternehmen Zugang zu Verschlusssa- vorherigen Berichtszeiträumen aufgedeckt habe (vgl. chen des Bundes (geheimhaltungsbedürftigen Infor- 28. TB Nr. 6.7.4 und 29. TB Nr. 9.5.5). Zu den häufigsten mationen) oder lebens- oder verteidigungswichtigen Mängeln gehörte ein unzureichender Informationsfluss Einrichtungen erhalten. Hierbei wird eine ganze Reihe zwischen Geheimschutz- und Sabotageschutzbeauftrag- persönlicher Daten erhoben und verarbeitet. ten bzw. Sicherheitsbevollmächtigten einerseits und der Personalstelle anderseits. Ebenso führten Mängel bei der Wiedervorlage wiederholt zur Missachtung von Vernichtungs- und Löschfristen. Des Weiteren habe ich Bei den kontrollierten Behörden handelte es sich um immer wieder unzulässige Inhalte in den Sicherheitsak- ten festgestellt, wie beispielsweise Kopien von Bundes- →→ die Bundesanstalt für Finanzdienstleitungsaufsicht personalausweisen, Pässen und Aufenthaltstiteln sowie →→ die Generaldirektion Wasserstraßen und Schifffahrt Dokumente mit personenbezogenen Daten unbeteiligter Dritter, die gar nicht oder unzureichend geschwärzt →→ die Bundespolizeidirektion Sankt Augustin waren. →→ das Deutsche Patent- und Markenamt Sieben der Kontrollen waren bei Redaktionsschluss noch →→ die Bundesanstalt für Immobilienaufgaben nicht endgültig abgeschlossen. Obwohl bei allen Kont- →→ das Bundeskartellamt rollen Datenschutzverstöße oder Mängel im Bereich des Sicherheitsüberprüfungsverfahrens aufgedeckt wurden, →→ das Bundesamt für Bevölkerungsschutz und konnte ich teilweise von Beanstandungen absehen, weil Katastrophenhilfe sowie Mängel umgehend behoben wurden oder es sich um →→ das Bundesamt für den Militärischen Einzelfälle ohne schwerwiegende Folgen handelte. Auf- Abschirmdienst. fällig war, dass der Bereich Geheim- und Sabotageschutz bei den zuständigen Stellen oft keine angemessene Von den kontrollierten Wirtschaftsunternehmen sind Aufmerksamkeit erfährt. Ursächlich sind unter ande- zwei im Bereich der Bewachung und eines im Bereich der Gebäudereinigung tätig. Das vierte Wirtschaftsunter- rem Unkenntnis, Zeit- oder Personalmangel. Häufig war nehmen ist Betreiber einer kritischen Infrastruktur. hier meine Beratung gefragt, um Geheimschutz- und Sabotageschutzbeauftragte oder Sicherheitsbevollmäch- Bei einer dieser Kontrollen handelte es sich um eine tigte zu unterstützen und für ein datenschutzkonformes Nachkontrolle. Die Mängel, die ich in dem betreffenden Vorgehen in Sicherheitsüberprüfungsverfahren zu sen- Unternehmen bereits im Jahr 2017 festgestellt habe sibilisieren und zu ertüchtigen. Ich freue mich sehr, dass (vgl. 27. TB Nr. 9.3.13), wurden leider nicht vollständig dieses Angebot von den geprüften Stellen angenommen abgestellt. Ich habe erneut mehrere erhebliche daten- wurde. schutzrechtliche Verstöße festgestellt und deshalb eine Beanstandung gegenüber dem Bundesministerium für Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 95",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p95-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 96,
"content": "Best Practice / Positives und die Entwicklung des Informationsverbundes FIU 2.0. Im aktuellen Berichtszeitraum habe ich nun erstma- Bei manchen Kontrollen befanden sich datenschutz- lig eine Kontrolle bei der FIU zur Löschung personenbe- rechtliche Verstöße im weit überwiegenden Teil der ge- zogener Daten durchgeführt. prüften Akten. Ich begrüße es jedoch, dass die kontrol- lierten Stellen sich durchweg kooperationsbereit zeigten Mit Wirkung zum 26. Juni 2017 hat die FIU als unabhän- und bereits einige festgestellte Mängel behoben haben. gige administrative Behörde ihren Wirkbetrieb unter Im Einzelfall konnte vor Ort abgeholfen und der Schutz dem Dach der GZD aufgenommen. Sie ist zuständig für der informationellen Selbstbestimmung der jeweils be- die Entgegennahme, Sammlung und Auswertung von troffenen Person unmittelbar wiederhergestellt werden. Meldungen über verdächtige Finanztransaktionen, die im Zusammenhang mit Geldwäsche oder Terrorismus- Besonders positiv hob sich ein Wirtschaftsunternehmen finanzierung stehen können. Sie verarbeitet in diesem hervor. Dort waren 99,39 Prozent der Akten vorbildlich Zusammenhang eine immense Anzahl von Geldwäsche- geführt. Durch eine Kennzeichnung der betroffenen verdachtsmeldungen, die sensible personenbezogene Person im Personalverwaltungssystem stellt das Wirt- Daten enthalten. schaftsunternehmen eine zuverlässige und datenschutz- freundliche Verarbeitung der Informationen sicher, die Im Juni 2020 sind nach der Verlagerung der FIU vom zur Sicherheitsakte genommen werden müssen. Das BKA zur GZD erstmalig die in der Errichtungsanordnung System erinnert den Sicherheitsbeauftragten nach fünf (EAO) zum jetzigen Informationsverbund-FIU vorge- Jahren daran, dass eine Aktualisierungs- bzw. Wiederho- sehenen Löschfristen abgelaufen. Dies habe ich zum lungsprüfung zu erfolgen habe oder die entsprechende Anlass genommen, mich sowohl bei der FIU als auch Akte zu vernichten sei. Dadurch wird sichergestellt, dass bei der verantwortlichen Fach- bzw. Rechtsaufsicht im die Wiedervorlagen entsprechend funktioniert. Verstö- Bundesministerium der Finanzen (BMF) nach dem Sach- ße habe ich hier nicht festgestellt. Stattdessen bestätigt stand der Umsetzung der Löschvorgaben zu erkundigen. dies, dass ein technisch und organisatorisch durch- In mehreren Stellungnahmen wurde mir mitgeteilt, dass dachtes System für die Führung der Sicherheitsakten zu diesem Zeitpunkt weder der erforderliche Löschme- und Steuerung der damit verbundenen Arbeitsprozesse chanismus im System implementiert werden konnte, förderlich ist. noch manuelle Löschungen personenbezogener Daten Positiv fiel mir außerdem bei der Bundespolizeidirektion durch die Sachbearbeitung erfolgt sind. Diese Aussagen Sankt Augustin auf, dass der Geheimschutzbeauftragte habe ich zum Anlass genommen, ein förmliches Kont- einen jährlichen Geheimschutzbericht fertigt, der die rollverfahren bei der FIU einzuleiten. Behördenleitung über dessen Tätigkeit und Entwick- Die Kontrolle ergab mehrere datenschutzrechtliche lungen im Bereich des Sicherheitsüberprüfungsrechts Mängel, die ich jeweils gegenüber dem BMF beanstandet informiert. Der Geheimschutzbericht stellt einen gewis- habe. sen Informationsfluss sicher und ist gleichzeitig ein sehr gutes Beispiel dafür, wie sich dieser spezielle Bereich in So sehen die gesetzlichen Regelungen vor, dass be- einer Behörde Gehör verschaffen kann. reits vor der Inbetriebnahme eines Systems sowohl technische als auch manuelle Vorkehrungen getroffen Querverweise: werden müssen, um Datenschutzgrundsätze wirksam 6.20 Das Sicherheitsüberprüfungsgesetz – Ein Gesetz mit umzusetzen und die Rechte der betroffenen Personen vielen Fragezeichen zu schützen. Dies hat die FIU versäumt. Der Informati- onsverbund-FIU wurde sogar mehrere Jahre betrieben, 8.2.9 Kontrolle und Beratung bei der Financial ohne die Löschvorgaben des für ihre Arbeit maßgebli- Intelligence Unit (FIU) chen Geldwäschegesetzes und der o. g. EAO zu beachten. Gleichzeitig hat die FIU es unterlassen, ihre Mitarbeiten- Seit ihrer Verlagerung vom Bundeskriminalamt (BKA) den mit entsprechenden Berechtigungen für manuelle zur Generalzolldirektion (GZD) im Jahre 2017 hat die Löschungen auszustatten. Meine Einzelfallprüfungen FIU keine Löschungen in ihrer Datenbank vorgenom- haben dies bestätigt. In meiner Stichprobenkontrolle men. Daneben habe ich weitere datenschutzrechtliche konnte ich bei mehr als einem Drittel der Einzelfälle das Mängel feststellen müssen, die zu mehreren Beanstan- Vorliegen der Löschvoraussetzungen feststellen. Eine dungen geführt haben. Außerdem habe ich die FIU zur Löschung erfolgte in keinem dieser Fälle. Die FIU und Verwendung von Echtdaten in Softwaretests beraten. das BMF verweisen als Kompensation für die unterblie- In meinem 29. Tätigkeitsbericht (Nr. 6.8) habe ich bereits benen Löschungen auf eine eingeführte Einschränkung über die FIU und ihre Arbeitsweise berichtet. Im Fokus der Verarbeitung. Dies vermag die datenschutzrechtli- standen dabei die Neugestaltung ihrer IT-Landschaft chen Verstöße aber nicht abzumildern. Ich habe dem 96 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p96-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 97,
"content": "BMF in diesem Kontext mitgeteilt, dass es bereits am Software sicherzustellen, habe ich die FIU zu grund- Vorliegen der gesetzlichen Voraussetzungen für eine rechtsschonenden Alternativen beraten. Anwendbarkeit der Ausnahmeregelung mangelt. Die FIU ist mit der Ankündigung an mich herangetre- Die FIU bzw. das BMF haben die Implementierung tech- ten, für verschiedene Test- bzw. Entwicklungsvorhaben nischer Löschvoraussetzungen im System in die Wege Echtdaten verwenden zu wollen. Hierfür solle eine geleitet und mir eine schnellstmögliche Umsetzung zu- Kopie ihrer gesamten operativ genutzten Datenbank gesichert. Manuelle Löschungen durch die Sachbearbei- verwendet werden. Konkret ging es um die Aktualisie- tung lehnt das BMF jedoch in weiten Teilen ab. Manuelle rung bestehender Software, die Einführung des bereits Löschungen seien unter anderem mit dem Kernauftrag erwähnten Löschmechanismus sowie einer Recherche- der FIU nicht vereinbar. Es müsse ein möglichst großer schnittstelle. Auch für das (kontinuierliche) Training der Datenpool zu Analysezwecken zur Verfügung stehen, da Künstlichen Intelligenz-Modelle von FIU-Analytics seien vermeintlich harmlose Sachverhalte im späteren Verlauf unveränderte Echtdaten zwingend notwendig. Die FIU zu werthaltigen Meldungen erstarken könnten. gab an, dass sie dies auf Grundlage des Echtbetriebs für rechtlich zulässig halte. Dies führt zu meinem nächsten Kritikpunkt: Das pauschale, ungeprüfte Überführen von Geldwäsche- Hinsichtlich der Verwendung von Echtdaten zu Testzwe- verdachtsmeldungen in den Datenpool der FIU zwecks cken habe ich jedoch meine Bedenken geäußert. Zwar Datenhaltung auf Vorrat und zur Nutzung der Daten zu ist das Testen von Software auch aus Datenschutzsicht Analyse- und Recherchezwecken verstößt gegen den unerlässlich, um die Integrität der Datenverarbeitung Grundsatz der Datenminimierung. Einer Datenspei- zu gewährleisten. Personenbezogene Daten unterfallen cherung auf Vorrat hat das Bundesverfassungsreicht jedoch dem Zweckbindungsgrundsatz. Dem für die FIU bereits in anderem Kontext mehrfach eine Absage relevanten Geldwäschegesetz (GwG) dürfte es allerdings erteilt. Zudem widerspricht eine solche Vorgehensweise bislang an einer hinreichend bestimmten und normen- den ausdrücklichen Vorgaben des Geldwäschegesetzes, klaren Rechtsgrundlage für die Testung von IT-Anwen- das neben regelmäßigen Aussonderungsprüfungen dungen mit Echtdaten fehlen. Tests mit einer Kopie der auch explizit Prüfungen bei der Einzelfallbearbeitung gesamten Produktivdatenbank würden auch dem Daten- vorsieht. Selbiges gilt für die o. g. EAO. Sofern Daten für schutzgrundsatz der Datenminimierung widersprechen. die Aufgabenerledigung der FIU nicht mehr erforderlich Bevor eine Testung mit Echtdaten überhaupt in Betracht sind, sind diese zu löschen. gezogen werden kann, ist immer zu prüfen, ob keine we- niger eingriffsintensiven Möglichkeiten zur Verfügung Bei meiner Kontrolle musste ich zudem eine mangelnde stehen, um den mit dem Softwaretest verfolgten Zweck Dokumentation und Aktenführung bei der FIU feststel- zu erreichen. len, die mir meine Prüfung erheblich erschwerte. Hierzu zählen beispielsweise unvollständige, uneinheitliche Im weiteren Verlauf bin ich mit der FIU in einen oder widersprüchliche Angaben im Vorgangsbearbei- Austausch eingetreten, um vielfältige Alternativen zur tungssystem, das Fehlen von Fristeintragungen sowie Testung mit Echtdaten aufzuzeigen. Vor allem habe ich fehlende Begründungen und Entscheidungen für eine die systematische Erstellung von Testfällen angeregt, Weiterspeicherung. Eine größer angelegte Datenschutz- die spezifische Anforderungen, aber auch Randfälle und kontrolle und auch eine Eigenkontrolle der Behörde hal- Negativ-Tests abdecken. Eine weitere Alternative wäre te ich vor diesem Hintergrund für kaum durchführbar. die Generierung künstlicher Testdaten. Um unvorherge- sehene Fehler aufzuspüren, könnten dabei auch Techni- Insgesamt besteht Nachbesserungsbedarf bei der FIU. ken wie Fuzzing zum Einsatz kommen. Zur Vermeidung Die Umsetzung der gesetzlichen Vorgaben muss sich von Fehlern habe ich auch auf die Gewährleistung der künftig im Arbeitsablauf der Sachbearbeitung und im Datenqualität hingewiesen. Zuletzt wäre auch eine Löschkonzept für den neuen FIU-Informationsverbund vorherige Anonymisierung oder Pseudonymisierung von 2.0 wiederfinden. Ich werde daher weiter auf eine daten- Echtdaten vor einer Nutzung zu Testzwecken denkbar. schutzkonforme Aufgabenwahrnehmung durch die FIU drängen und den Umsetzungsprozess überwachen. Neben der Problematik einer fehlenden Rechtsgrundla- ge wären diese Testmöglichkeiten prioritär auszuschöp- Beratung der FIU bezüglich Testung mittels Echtdaten fen, bevor ggf. die Verwendung personenbezogener Die Verarbeitung personenbezogener Daten bei der FIU Echtdaten im Rahmen eines Pilotbetriebs in Betracht unterliegt gesetzlich festgelegten Zwecken. Testzwe- kommt. Die Verarbeitung von Daten durch die FIU wer- cke fallen nicht darunter. Da es auch im Interesse des de ich weiter begleiten. Datenschutzes liegt, eine hohe Qualität der eingesetzten Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 97",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p97-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 98,
"content": "8.2.10 Kontrolle nicht lizenzierter Postdienstleister mehr als ein Dutzend Unternehmen zur Umsetzung der Betroffenenrechte schriftlich kontrolliert. Im Berichtsjahr habe ich das erste Mal den großen Bereich der nicht lizenzierten Postdienstleister kon- Betroffene, deren personenbezogene Daten verarbeitet trolliert. Pandemiebedingt konnte die Kontrolle nur werden oder wurden, verfügen nach dem 3. Kapitel der schriftlich erfolgen. Auch wenn ich auf diesem Wege DSGVO über eine Reihe von Betroffenenrechten. Zum einen guten Einblick in die Datenverarbeitung der kon- einen hat der Verantwortliche die Betroffenen über jede trollierten Unternehmen gewinnen konnte, werde ich Verarbeitung personenbezogener Daten zu informieren, in Zukunft wieder einen Schwerpunkt auf die Beratung zum anderen gibt die DSGVO diesen Personen dann ak- und Stichprobenkontrolle vor Ort legen. tive Rechte an die Hand: Sie können Auskunft, Berichti- gung, gegebenenfalls Löschung oder Einschränkung der Unternehmen, die beabsichtigen, in Deutschland Briefe Verarbeitung verlangen, ihre Daten in einem gängigen bis zu einem Gewicht von 1.000 Gramm zu befördern, Format erhalten und übertragen oder Widerspruch benötigen als Postdienstleister eine Lizenz der Bundes- gegen die Verarbeitung einlegen. Nähere Informationen netzagentur. Werden nur schwerere Briefsendungen und zu den Betroffenenrechten und Hinweise dazu, wie sie Pakete befördert oder Kurierdienste erbracht, benötigt ausgeübt werden können, finden sich auf meiner Inter- ein Postdienstleister keine Lizenz, aber die Tätigkeit als netseite (www.bfdi.bund.de) Postdienstleister ist anzuzeigen. Als nicht lizenzierte Postdienstleister sind mehrere zehntausend Unterneh- Nach einer Vielzahl von Einzelfallprüfungen im Rahmen men bei der Bundesnetzagentur angezeigt, vom Einze- von Eingaben und Beschwerden zu den Betroffenenrech- lunternehmen über Fahrrad-Kurierdienste bis hin zu ten habe ich in diesem Jahr eine zweistellige Anzahl an großen Speditionen. Postdienstleistern zur Umsetzung dieser Rechte kontrol- liert. Die Verantwortlichen sollten detailliert Auskunft Eine datenschutzrechtliche Kontrolle muss sich daher zur Umsetzung der rechtlichen Vorgaben machen und auf Stichproben beschränken. Ich habe im Berichtsjahr mir Einblick in ihre entsprechenden Prozesse gewähren. einer zufälligen Auswahl von nicht lizenzierten Post- dienstleistern einen Fragebogen mit allgemeinen Fragen Das positive Ergebnis zeigt ein durch die Bank solides zum Datenschutz sowie zur Verarbeitung personenbezo- Datenschutzniveau. Alle Unternehmen haben sich mit gener Daten bei der Erbringung der Postdienstleistung den Betroffenenrechten und der Frage, wie sie gewährt übermittelt. werden sollen, befasst. Vielfach liegen verschriftlichte Prozesse mit klaren Verantwortlichkeiten vor – schließ- Im Ergebnis habe ich bei den kontrollierten Postdienst- lich will die Monatsfrist zur Beantwortung der Anträge leistern keine gravierenden datenschutzrechtlichen der Betroffenen im Regelfall eingehalten werden. Mängel festgestellt. Die kontrollierten Unternehmen verarbeiteten oft nur in sehr geringem Umfang perso- Allerdings habe ich den Antworten durchaus auch nenbezogene Daten im Rahmen ihrer Dienstleistung, Schwachpunkte entnommen. Gerade das zentrale der Sortierung und Postzustellung vor Ort. Regelmäßig Auskunftsrecht muss von dem ein oder anderen Ver- waren sie für lizenzierte Postdienstleister als Subunter- antwortlichen noch an die jüngsten Entwicklungen der nehmer tätig und nutzten deren Infrastruktur. Rechtsprechung angepasst werden. Vereinzelte Hinwei- se auf ein anderes Verständnis von rechtlichen Vorgaben Allerdings zeigte sich, dass in den Unternehmen wenig wurden gegenüber den kontrollierten Stellen kommuni- Sensibilität für datenschutzrechtliche Themen vorhan- ziert und werden bei Notwendigkeit auch entsprechend den ist und ein großer Informations- und Aufklärungs- durchgesetzt. bedarf besteht, der durch Kontrollen allein nicht gedeckt werden kann. Ich werde daher auch meine Informati- Erwartungsgemäß gehen bei größeren Unternehmen onsangebote für diese Unternehmen ausbauen, ergänzt wesentlich mehr Anfragen zu Betroffenenrechten ein durch direkte Beratung im Rahmen von Kontrollbesu- als bei regional tätigen Postdienstleistern. Durch die chen vor Ort. Kontrolle sind aber in allen angeschriebenen Unter- nehmen die Betroffenenrechte stärker ins Bewusstsein 8.2.11 Fragebogenkontrolle Betroffenenrechte der involvierten Mitarbeitenden gerückt. Ich bin daher Die Betroffenenrechte nach der Datenschutz-Grund- zuversichtlich, dass Betroffene ihre Rechte gegenüber verordnung (DSGVO) sind vielfach Gegenstand von diesen Unternehmen in Zukunft noch effektiver ausüben Anfragen, sowohl direkt gegenüber Unternehmen und können. Behörden als auch in Form von Eingaben und Be- Querverweise: schwerden, die an mich als Aufsichtsbehörde gerichtet werden. Im Postdienstleistungssektor habe ich daher 3.2.5 Leitlinien Recht auf Auskunft Art. 15 DSGVO 98 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p98-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 99,
"content": "9 BfDI intern 9.1 Organisationsuntersuchung gisch prioritär betrachteten Themenfelder „Zentrales Wissensmanagement“, „Kontrollen“ und „Bearbeitung Die Ergebnisse einer Organisationsuntersuchung von Bürgereingaben“. zeigen u. a., dass für eine optimale Erfüllung meines gesetzlichen Auftrags bei gewachsenen und noch Die sich anschließende prospektive Ressourcenbedarfs- wachsenden Aufgaben zusätzliche Personalkapazitäten schätzung für die Fachaufgaben unter Berücksichtigung benötigt werden. der Ergebnisse der aufgabenkritischen Betrachtung und gesetzlichen Aufgabenstellungen hat gezeigt, dass mir In meiner Behörde wurde von August 2020 bis Okto- zur qualitativen Erfüllung meines gesetzlichen Auftrages ber 2021 eine hausweite Organisationsuntersuchung nach wie vor Ressourcen fehlen. einschließlich einer Personalbedarfsermittlung (PBE) durchgeführt. Diese sollte klären, welche aufbau- und Die Feststellung, dass ich zur Erfüllung meines – stetig ablauforganisatorischen Optimierungspotenziale erweiterten – gesetzlichen Auftrages, der immer stärker bestehen. Besonders mit Blick auf die künftige Aufga- techniküberlagert ausgeführt werden muss, weitere benwahrnehmung und damit verbundene Ressourcen- IT-Spezialisten benötige, ist eine wichtige Erkenntnis verteilung sollte insbesondere die PBE für die künftigen dieser Organisationsuntersuchung. Haushaltsaufstellungen eine valide Basis bilden. Dies entsprach auch Forderungen des Rechnungsprüfungs- Darüber hinaus konnte festgestellt werden, dass neben ausschusses des Deutschen Bundestages und des Bun- der Übertragung weiterer gesetzlicher Aufgaben auch desrechnungshofes. die Intensität der Aufgabenwahrnehmung deutlich angestiegen ist, insbesondere durch eine gestiegene Die Federführung hatte mein Organisationsreferat mit Anzahl von Verfahren und Technologien der digitalen externer Unterstützung durch ein vom Bundesverwal- Datenerfassung und -verarbeitung. Beides ist nur mit tungsamt ausgesuchtes Beratungsunternehmen. In die ausreichenden Personalressourcen umsetzbar, da die Organisationsuntersuchung waren alle Organisations- personellen Ressourcen hierfür intern nicht mehr er- einheiten einschließlich Leitungsstab und die Zentrale wirtschaftet werden können. Anlaufstelle (ZASt) eingebunden. Die Untersuchung orientierte sich an den methodischen Empfehlungen des Organisationshandbuchs des Bundesministeriums des 9.2 Personalentwicklung im Jahr Innern, für Bau und Heimat (BMI). 2021 Aufgrund dieser Empfehlungen wurde für die PBE zunächst ein initialer Aufgabenkatalog für alle Organi- Meiner Behörde standen 2021 insgesamt 346,4 Stellen sationseinheiten erstellt und validiert, der anschließend zur Verfügung. Trotz der Corona-Pandemie, die auch mit den Organisationeinheiten abgestimmt wurde, so 2021 persönliche Kontakte deutlich einschränkte, und dass eine retrospektive Aufwandsschätzung auf Basis der einer Reihe neuer Stellen im Bundeshaushalt 2021 zum 30. November 2020 zur Verfügung stehenden Perso- konnte ich ca. 75 % der zur Verfügung stehenden Stel- nalkapazitäten möglich war. Aufgrund dieser Datenlage len besetzen. Hierfür habe ich die hausinterne Video- konnte sowohl eine aufgabenkritische Betrachtung konferenztechnik nutzen und viele Nachwuchskräfte (Zweck- und Vollzugskritik) der Ist-Analyse als auch eine und erfahrene Beschäftigte gewinnen können. Ich Prozess- und Schnittstellenanalyse vorgenommen wer- sehe mich auf einem guten Weg, die vom Haushaltsge- den. Dadurch wurden Optimierungspotentiale deutlich. setzgeber zur Verfügung gestellten Stellen besetzen zu Die vertiefte Analyse erfolgte in den von mir als strate können. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 99",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p99-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 100,
"content": "Für das Berichtsjahr 2021 hat mir der Haushaltsgesetz- 9.3 Presse- und Öffentlichkeits geber insgesamt 346,4 Stellen zugestanden, damit ich arbeit meine Aufgaben ordnungsgemäß erfüllen kann. Diese teilen sich in 328,9 Planstellen für Beamtinnen und Die Pressearbeit meiner Behörde wurde auch 2021 Beamte sowie in 17,5 Stellen für Tarifbeschäftigte auf. weitgehend von Themen im Zusammenhang mit der Mir ist es auch in Pandemiezeiten gelungen, zahlrei- Corona-Pandemie bestimmt. Ein Dauerbrenner insbe- che Nachwuchskräfte und erfahrene Beschäftigte für sondere für die Fachpresse bleibt außerdem die elek- mein Haus zu gewinnen. Demgegenüber habe ich im tronische Patientenakte. Mit der Öffentlichkeitsarbeit Jahr 2021 nur sechs Personalabgänge verzeichnet, die erreichen wir immer mehr Bürgerinnen und Bürger. teilweise unvorhergesehen waren. Insgesamt weist mein Der offizielle Account meiner Behörde beim dezentra- Haus zum 31. Dezember 2021 eine Personalstärke von len Kurznachrichtendienst Mastodon hat mittlerweile 275 Personen auf. über 3.000 Abonnenten. Die interessierte Öffentlichkeit konnte durch digitale Formate zum ersten Mal live So wie im Berichtsjahr 2020 waren die Personalgewin- an zwei BfDI-Veranstaltungen teilnehmen. Und: Bei nungsverfahren stark von der pandemischen Situation unseren Kinderbüchern zum Thema Datenschutz ist die überlagert. Aufgrund der Kontaktbeschränkungen konn- Nachfrage sehr hoch. te ich entgegen meiner ursprünglichen Planungen die Bewerbungsauswahlverfahren erst im 2. Quartal starten. Pressearbeit Noch habe ich die gewünschte Anzahl an neuen Kolle- Die meisten Anfragen an meine Pressestelle hatten auch ginnen und Kollegen nicht erreicht. Im Jahr 2021 habe 2021 einen thematischen Bezug zur Corona-Pandemie: ich insgesamt 432 Bewerbungen erhalten und konnte Mit Corona-Warn-App, Digitalem Impfnachweis und mithilfe moderner hausinterner Videokonferenztechnik 3G am Arbeitsplatz seien nur ein paar der wichtigsten 29 Bewerbungsverfahren durchführen. 153 Personen Schlagworte genannt. Wie im Vorjahr wurde ich dabei haben sich in meinem Hause vorgestellt, aus denen ich häufig mit dem Vorurteil konfrontiert, Datenschutz wür- über 44 neue Kolleginnen und Kollegen gewinnen konn- de eine effektive Bekämpfung der Pandemie verhindern, te. Hiervon haben bereits 26 Kolleginnen und Kollegen mindestens aber verzögern oder unnötig bürokratisie- ihren Dienst bei mir angetreten, weitere 18 Personen ren. Ich werde nicht müde werden, die Öffentlichkeit da- folgen im Jahr 2022. Ich bin weiterhin zuversichtlich, als von zu überzeugen, dass hier ein Gegensatz konstruiert attraktiver Arbeitgeber in den kommenden Monaten die wird, den es nicht gibt. Gleiches gilt für die Auflistung noch offenen Positionen in meinem Haus besetzen zu vermeintlicher „Datenschutzpannen“ oder „Schildbür- können. gerstreiche“, die mit dem Verweis auf angeblich über- Um auch auf diese Weise für meine Behörde als Arbeit- bordenden Datenschutz in Deutschland enden. So wurde geber zu werben, habe ich in den vergangenen Monaten beispielsweise immer wieder behauptet, der Versand wieder acht Studierende und zehn Referendarinnen und von Impfeinladungen in Niedersachsen sei am Daten- Referendare eingeladen, Ausbildungstage in meinem schutz gescheitert. Gleiches gilt für die öffentlichen Hause zu absolvieren. Zudem habe ich begonnen über Klagen der Deutschen Gesellschaft für Orthopädie und den üblichen Girls and Boys Day in Bonn hinaus, Schü- Unfallchirurgie, dass die Befüllung des Traumaregisters lerpraktika durchzuführen. Das erste hat im November durch den Datenschutz erschwert werde. Dort, wo meine 2021 mit gutem Erfolg und regem Interesse stattgefun- Behörde gefragt wurde, konnten wir solche Mythen sehr den. Auch das von mir geplante Gesamtpersonalentwick- schnell durch Fakten widerlegen. lungskonzept wird derzeit nach thematischen Modu- Im Zusammenhang mit der Pandemie muss wohl auch len konzipiert und mit den Interessensvertretungen das kurzfristige aber gleichwohl in den Medien ausführ- abgestimmt Zudem ist mir ein wertschätzender Umgang lichst diskutierte Phänomen des Sozialen Netzwerks miteinander wichtig, deshalb habe ich auch ein Konzept „Clubhouse“ gesehen werden. In digitalen Räumen sollte zum Konfliktmanagement in Kraft gesetzt. Zudem konn- dort ausschließlich verbal diskutiert werden. Entspre- te ich ein umfängliches Aufstiegskonzept vorlegen und chende Anfragen habe ich an meine Kolleginnen und mit den Interessensvertretungen abstimmen. Kollegen in den Bundesländern weitergeleitet, da ich die App aufgrund fehlender Zuständigkeit nicht geprüft habe. Umgekehrt hatte meine Ankündigung, die Nutzung von Facebook Pages bei den Bundesministerien ab Januar 2022 zu prüfen, keine Auswirkungen auf die Nutzung durch Landesbehörden oder Kommunen. Ich habe viele 100 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p100-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 101,
"content": "dieser Anfragen mit einem Verweis auf die föderale Ich möchte zusätzlich den Erfahrungsaustausch der in- Organisation des Datenschutzes in Deutschland beant- teressierten Öffentlichkeit in den Bereichen Datenschutz wortet und mein Schreiben an die Bundesbehörden im und Informationsfreiheit stärken. Zu diesem Zweck habe Transparenzbereich meiner Internetseite veröffentlicht. ich im Frühjahr 2021 das „Datenschutzforum“ (https:// forum.bfdi.bund.de) wiederbelebt. Die rege Beteiligung Ein ebenfalls sehr hohes Interesse gab es bei bestimm- im Forum und das positive Feedback bestärken mich ten Einzelthemen. Dazu zählt meine Untersagung der darin, auch in Zukunft den Austausch mit der Daten- Nutzung der Studie Kindeswohl und Sorgerecht, die schutz-Community zu suchen. Gesetzgebung zur Registermodernisierung, meine Un- tersuchung von journalistischen Anfragen an den Bun- Im Sommer 2021 habe ich außerdem meinen Interne- desbeauftragten für die Stasiunterlagen und die Entwick- tauftritt (https://bfdi.bund.de) überarbeitet. Der neue lungen zur elektronischen Patientenakte. Während die Aufbau und die neue Optik sollen Inhalte einfacher auf- ersten Themen nur temporär großes mediales Interesse findbar machen. Die neue Seite richtet sich stärker da- nach sich zogen, wird die elektronische Patientenakte nach, nach welchen Informationen gesucht wird. So gibt immer mehr zum „Dauerbrenner“. es zielgerichtete Angebote für Bürgerinnen und Bürger, Fachleute oder Medienschaffende. Auch Kontaktdaten Im Zusammenhang mit der Flutkatastrophe gab es ein und Formulare sind nun einfacher aufzufinden. Aller- herausragendes mediales Interesse am Thema „Cell dings kam es bei der Neugestaltung der Internetseite zu Broadcasting“ (vgl. 11.2 Datenschutzfreundliche Katas- einer kurzen Datenpanne, bei der über den Zeitraum trophenwarnung). Neben den Fragen zum Datenschutz von mehreren Tagen aufgrund eines Konfigurationsfeh- musste ich hier insbesondere die Funktionsweise von lers keine Beschwerden über die neuen online-Formula- Cell Broadcasting immer wieder erläutern. Leider lese re an meine Behörde weitergeleitet wurden. Der Fehler ich trotzdem in der Berichterstattung immer noch die konnte jedoch schnell behoben werden. fälschliche Bezeichnung „Warn-SMS“. Ich kann Medien- schaffende daher nur auffordern, sich weiterhin vertrau- Veranstaltungen ensvoll mit Anfragen an meine Pressestelle zu wenden, Im Berichtszeitraum konnten aufgrund der Einschrän- um Datenschutz-Mythen vorzubeugen. kungen durch die Corona-Pandemie keine Präsenzver- Ich habe im Berichtszeitraum 16 Pressemitteilungen he- anstaltungen mit größerem Teilnehmerkreis durchge- rausgegeben und war einmal zu Gast in der Bundespres- führt werden. Allerdings konnte ich erstmals mit dem sekonferenz. Außerdem habe ich sieben Gastbeiträge Informationsfreiheit-Symposium 2021 und dem Sym- bzw. Aufsätze für verschiedene Medien verfasst. Meine posium zu polizeilichen Informationssystemen digitale Pressestelle hat 526 Anfragen per Mail und 511 telefoni- Veranstaltungen anbieten. Durch datenschutzkonforme sche Anfragen beantwortet. Streams erreichte ich hierdurch sogar mehr interessierte Personen, als es mit einer Präsenzveranstaltung möglich Internetseite und Social Media gewesen wäre. 2020 habe ich eine eigene Instanz des dezentralen Im Rahmen der Veranstaltungsreihe „Bonner Tage der Kurznachrichtendienstes Mastodon in Betrieb genom- Demokratie“ habe ich mich an der virtuellen Diskussi- men. Der offizielle Account meiner Behörde (social. on zum Thema „Wieviel Grundrechtsverlust ist mir die bund.de/@bfdi) hat mittlerweile über 3.000 Abonnenten. Nutzung von Instagram Wert?“ beteiligt. Neben der Veröffentlichung von Pressemitteilungen und Ich hoffe, dass es die Lage im nächsten Jahr zulässt, neuen Dokumenten auf meiner Internetseite beantwor- nicht nur mehr solcher Veranstaltungen anbieten zu te ich auch Fragen von Nutzenden. Diesen Austausch können, die dann hoffentlich auch wieder in Präsenz möchte ich in Zukunft intensivieren und so noch mehr oder hybrid durchgeführt werden. Einblicke in die Arbeit meiner Behörde geben. Besuchergruppen Ich habe meine Instanz außerdem für alle Bundes- ministerien und oberste Bundesbehörden sowie den Durch die Corona-Pandemie hat leider in diesem Jahr Deutschen Bundestag, die Landesparlamente und die keine Besuchergruppen-Betreuung stattgefunden. Landesdatenschutzbeauftragten geöffnet. Auf meine Informationsmaterial offizielle Einladung habe ich allerdings bisher nur we- nige positive Rückmeldungen erhalten. Ich werde mein Als Teil meiner Beratungs- und Aufklärungsarbeit konn- Angebot gegenüber der neuen Regierung wiederholen te ich im Dezember 2021 meine mit dem CARLSEN Ver- und weiter für datenschutzfreundliche Social Media lag entwickelten Kinderbücher zum Thema Datenschutz Angebote werben. veröffentlichen. Das Pixi-Buch „Die Daten-Füchse – Das Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 101",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p101-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 102,
"content": "ist privat!“ wurde für Kinder im Kindergartenalter, deren →→ wo Kinder und Jugendliche in ihrem Alltag mit dem Eltern und alle Pixi-Liebhaber entworfen. Das Buch Thema in Berührung kommen, aus der Pixi Wissen-Reihe „Die Daten-Füchse – Was ist Datenschutz?“ ist für Kinder der Grund- und weiterfüh- →→ was Kinder und Jugendliche spannend an dem The- ma finden und was sie weniger interessiert und renden Schulen sowie für alle interessierten Leserinnen und Leser erstellt worden. →→ mit welcher Ansprache Kinder und Jugendliche für das Thema begeistert werden könnten. Um zu erleben wie die junge Leserschaft meine neu- en Pixi-Bücher findet, war ich zu Besuch in je einer Mit den Ergebnissen aus dem Fokusgruppentest werden Bonner Grund- und Gesamtschule. Ich war begeistert wir nun zielgerichtet weitere Angebote für Kinder und wie schnell und ohne Scheu wir ins Gespräch kamen, Jugendliche schaffen. wie viele Fragen gestellt wurden und auch wie kritisch die Schülerinnen und Schüler gegenüber Abfragen von Querverweise: persönlichen Daten beim Downloaden von Apps oder 11.2 Datenschutzfreundliche Katastrophenwarnung Spielen gegenüberstehen. Die Nachfrage an kind- und jugendgerechten Informa- tionsmaterial war und bleibt ungebrochen. In weniger 9.4 Am Ort des Geschehens: als einer Woche gingen mehr als 9.000 Bestellungen zu Das Hauptstadtteam des BfDI meinen Pixi-Büchern ein. Dies zeigt mir einmal wieder, dass wir auf einem guten Weg sind. Aus diesem Grund Meine Behörde unterhält schon lange ein kleines gibt es in 2022 eine zweite Auflage der „Daten-Füchse“. Verbindungsbüro in der Bundeshauptstadt mit Kolle- ginnen und Kollegen aus verschiedenen Fachreferaten. Gleichzeitig werden die beiden aktuellen Pixi-Bücher Angebunden an den Leitungsbereich habe ich dort nun in Videos umgesetzt. Hiermit möchte ich eine weitere zusätzlich ein Hauptstadtteam gebildet, das rund um Informationsquelle öffnen und sicherstellen, dass un- das politische Geschehen als zentraler Ansprechpartner sere wichtigen Botschaften dauerhaft und jederzeit zur vor Ort fungiert. Verfügung stehen. Ganz wesentlicher Teil meines gesetzlichen Auftrags Auch unsere anderen Publikationen waren dieses Jahr ist die Beratung von Bundestag und Bundesrat sowie wieder gefragt. Bei den Broschüren für das Fachpubli- der Bundesregierung und anderer Einrichtungen und kum und interessierte Bürgerinnen und Bürger ist und Gremien. Dies gilt insbesondere hinsichtlich legislativer bleibt die „Info 1“ mit ihren Texten und Erläuterungen und administrativer Maßnahmen zum Schutz der Rechte zur Datenschutzgrundverordnung (DSGVO) und zum und Freiheiten natürlicher Personen in Bezug auf die Bundesdatenschutzgesetz (BDSG) der Dauerbrenner. Verarbeitung personenbezogener Daten. Aber auch die neue aufgelegte „Info 6“ mit den Hin- weisen zur DSGVO in der Bundesverwaltung stieß auf Berlin ist die Drehscheibe des nationalen politischen großes Interesse. Bei meinen Flyern war besonderes „Te- Geschehens und des damit einhergehenden gesell- learbeit und Mobiles Arbeiten – Ein Datenschutz-Weg- schaftlichen, wirtschaftlichen und wissenschaftlichen weiser“ in Zeiten der Corona-Pandemie und Homeoffice Austausches. Dies fordert von meiner in Bonn angesie- ein wichtiges und gefragtes Informationsmaterial für delten Behörde eine örtliche Vertretung auch an der Bürgerinnen und Bürger. Spree, während die europäische Vernetzung besser vom Fokusgruppentest Rhein aus gewährleistet werden kann. Für die struk- turierte Vernetzung im politischen Raum habe ich zur Ein wichtiger Teil meines gesetzlichen Auftrags ist es, die Bündelung der Informations- und Austauschwege und Öffentlichkeit für das Thema Datenschutz zu sensibili- so auch als Entlastung für meine Fachebenen in einem sieren. Dabei sollen spezifische Maßnahmen für Kinder ersten Schritt im Verbindungsbüro ein Hauptstadtteam besondere Beachtung finden. Um eine zielgruppenge- gebildet. Es ist beim Leitungsbereich angesiedelt und rechte Ansprache bei der Schaffung von Angeboten an soll spezifische politische Informationen sowie die Kinder und Jugendliche zu ermöglichen, habe ich einen Kommunikation im Kontext des Berliner Politikbetriebs Fokusgruppentest durchführen lassen. Damit haben wir bündeln und für mein Haus aufbereiten. Ich verstehe in der Zielgruppe ermittelt: mich zudem aufgrund meines gesetzlichen Auftrags →→ wie das Thema Datenschutz im Bewusstsein von insbesondere auch als Dienstleister für Parlament und Kinder und Jugendliche ausgeprägt ist und wie sie Regierung und messe dieser Schnittstelle besonderer zum Thema stehen, Bedeutung zu. 102 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p102-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 103,
"content": "Mit dem neuen Hauptstadtteam ist es mir nun möglich, 9.5 BfDI in Zahlen mein Informationsangebot für den Parlamentarischen In den vorangegangenen Kapiteln habe ich über die Bereich auszubauen. So erscheint regelmäßig mit dem über ausgewählte einzelne Punkte des Datenschutz- Parlamentsbrief ein spezielles Informationsformat für jahres 2021 berichtet. Die alltägliche Arbeit meiner Be- Abgeordnete und deren Mitarbeiterinnen und Mit- hörde spiegelt dies allerdings nur in Teilen wieder. Die arbeiter. Dieser ist auf meiner Homepage, aber auch folgenden Zahlen und Statistiken liefern einen besseren anschließend öffentlich verfügbar (www.bfdi.bund.de/ Überblick, womit ich im vergangenen Jahr befasst war. parlamentsbrief). Daneben biete ich für die genannte Zielgruppe Workshops zu Datenschutzgrundlagen und Beratung und Kontrolle ausgewählten Einzelthemen an. Dies soll neben der Informationsvermittlung helfen, Verständnis und Ein- Eine der wichtigsten Tätigkeiten meiner Behörde ist die fühlungsvermögen für die Belange des Datenschutzes zu Beratung und Kontrolle der beaufsichtigten Stellen. Kon- schärfen. Dieses Angebot machen wir auch den deut- trollbesuche kann ich pandemiebedingt weiterhin leider schen Europaabgeordneten. nur eingeschränkt durchführen. Hinter der Zahl von 107 Kontrollen im Berichtsjahr verbergen sich deshalb 82 Überdies zählt auch der Kontakt und Austausch mit allen schriftliche Kontrollen. übrigen Hauptstadtakteuren aus Wirtschaft, Wissen- schaft und Gesellschaft zu den Aufgaben des Hautstadt- Zusätzlich zur Kontrolltätigkeit bin ich mit insgesamt 37 teams. Schließlich bin ich gehalten, maßgebliche Ent- – teils virtuellen – Beratungs- und Informationstreffen wicklungen zu verfolgen, soweit sie sich auf den Schutz auf die beaufsichtigten Stellen zugegangen, um über die personenbezogener Daten auswirken, insbesondere die konkrete Umsetzung des Datenschutzes im Gespräch zu Entwicklung der Informations- und Kommunikations- bleiben. technologie und von Geschäftspraktiken. Hinter beiden Aufgaben steht der Gedanke, dass dem Schutz der Daten der Bürgerinnen und Bürger am besten gedient ist, wenn ich als Sachwalter frühzeitig auf grundrechtsfreundliche Lösungen hinwirke und helfe, Fehlentwicklungen zu vermeiden. Beratungen und Kontrollen bei beaufsichtigten Stellen Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 103",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p103-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 104,
"content": "Gremienarbeit freiheit ein. So habe ich im Berichtsjahr die Leitung der Berlin Group übernommen und aktiv im Executive Com- Die Datenschutzaufsicht erfordert nicht nur auf na- mitee der Global Privacy Assembly mitgewirkt. tionaler, sondern auch auf europäischer Ebene eine ständige Koordinierung, um auf eine einheitliche Um- Dies stellt einen umfangreichen Aufwand für mich und und Durchsetzung der Datenschutz-Grundverordnung meine Mitarbeiterinnen und Mitarbeiter dar. Alle Tref- (DSGVO) hinzuwirken. Darüber hinaus nimmt auch die fen von Hauptgremien, Arbeitskreisen und Subgroups weitergehende internationale Vernetzung der Daten- zusammengenommen, war meine Behörde im Berichts- jahr bei 551 Sitzungen vertreten. Besonders hervorzuhe- schutzbehörden eine immer wichtigere Rolle ein. ben ist dabei, dass in gut einem Viertel dieser Sitzungen In diesen Prozess bringe ich mich aktiv im Sinne der die Sitzungsleitung (bzw. stellvertretende Sitzungslei- Weiterentwicklung von Datenschutz und Informations tung) von meiner Behörde gestellt wurde. Sitzungen in nationalen und internationalen Gremien Beschwerden und Anfragen Im Berichtsjahr richteten Bürgerinnen und Bürger Eine Eingabe gilt dann als Beschwerde, wenn die insgesamt 6.829 Beschwerden und Anfragen an mich. betroffene Person annimmt, sie sei bei der Erhebung, Außerdem konnte ich 7.124 Personen telefonisch bera- Verarbeitung oder Nutzung ihrer persönlichen Daten ten. Das entspricht grob den Zahlen der beiden Vorjahre. in ihren Rechten verletzt worden. Andernfalls ist Nach der großen Welle des Anfrageaufkommens zum sie als allgemeine Beratungsanfrage zu werten. Der Start der DSGVO hat sich der Beratungsbedarf von Bür- Unterschied zwischen den Eingabearten liegt in deren gerinnen und Bürgern damit scheinbar auf dem gegen- Rechtsfolge, da Beschwerden grundsätzlich förmlich wärtigen Level eingependelt. beschieden werden. Das Beschwerderecht ist sowohl in der DSGVO als auch in Spezialgesetzen geregelt. Beschwerden und Anfragen 2019 2020 2021 Allgemeine Anfrage 4.280 4.897 4.329 Beschwerde Art. 77 DSGVO 3.118 2.861 2.383 Beschwerde Art. 80 DSGVO 3 25 19 Beschwerde § 60 BDSG 44 56 54 Eingabe gegen Nachrichtendienste 44 39 44 104 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p104-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 105,
"content": "Meldung von Datenschutzverstößen von Finanzämtern, Jobcentern und Telekommunikati- onsanbietern. Sämtliche öffentlichen und nicht-öffentlichen Stellen müssen gegenüber der zuständigen Aufsichtsbehörde Die bei Einführung der DSGVO teilweise beobachteten Datenschutzverstöße melden. Ich habe im Berichtszeit- überobligatorischen Meldungen gehören mittlerweile raum 10.157 entsprechende Meldungen erhalten. Die der Vergangenheit an. Das jährliche Aufkommen pendelt Meldungen an meine Behörde stammen insbesondere sich bei ca. 10.000 Meldungen ein. Meldungen von Datenschutzverstößen 2019 2020 2021 Meldungen nach DSGVO 14.649 9.987 10.106 Meldungen nach § 109a TKG 40 37 51 Förmliche Begleitung bei Rechtsetzungsvorhaben des durch die COVID-Pandemie geprägten Jahres 2020. Insbesondere die Beteiligungen an Gesetzgebungsver- Gemäß § 21 der Gemeinsamen Geschäftsordnung der fahren entfielen dabei auf das erste Halbjahr. Bundesministerien (GGO) hat das federführende Ressort mich bei der Erstellung von Gesetzesvorlagen frühzeitig Neben den in der Grafik aufgeführten 328 Beteiligungen zu beteiligen, soweit dadurch meine Aufgaben berührt nach § 21 GGO habe ich zu 43 Dateianordnungen, 18 werden. Wie an mehreren Stellen in diesem Bericht aus- EU-Rechtsakten und einem Verfahren des Bundesverfas- geführt, funktioniert dies leider nicht immer reibungs- sungsgerichts Stellung genommen. Außerdem konnte los. Im Berichtsjahr sind, trotz der Bundestagswahl, wie- ich mich als Sachverständiger in zwölf Anhörungen von der einige Beteiligungen zusammengekommen, mehr Ausschüssen des Deutschen Bundestages einbringen. als in vergleichbaren wahlfreien Jahren mit Ausnahme Beteiligungen nach § 21 GGO Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 105",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p105-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 106,
"content": "Eingaben mit Bezug zum Informationsfreiheitsrecht Bei den Eingaben zu Fragen und Themen aus dem Be- reich des IFG handelte es sich in 276 Fällen um allgemei- Mich erreichten im Berichtszeitraum insgesamt 622 ne Anfragen zur Informationsfreiheit. Eingaben. Nach einem Ausreißer im letzten Jahr ist die Anzahl der Eingaben damit wieder auf dem Niveau der In 336 Fällen riefen mich Petenten in meiner Funktion Vorjahre angekommen. als Ombudsperson nach § 12 Abs. 1 IFG an und rügten eine Verletzung ihres Rechts auf Informationszugang. Meine Ombudsfunktion im Bereich des Informations- Der größte Teil der Eingaben betrafen dabei das Bundes- freiheitsgesetzes (IFG) wurde durch eine Änderung des ministerium für Gesundheit und seinen Geschäftsbe- Umweltinformationsgesetzes (UIG) ab März 2021 auch reich, was – wie im Vorjahr – am starken Interesse der auf umweltinformationsrechtliche Belange des UIG Antragsteller an Informationen im Zusammenhang mit erweitert. Seither erreichten mich im Berichtszeitraum der Corona-Pandemie liegt. Antragsinhalte waren unter insgesamt 10 Bitten um Vermittlung bei Anträgen nach anderem das Risikomanagement bei Coronaerkrankun- dem UIG. Die den Eingaben zugrundeliegenden An- gen, Anfragen im Zusammenhang mit Impfstoffen und träge bezogen sich mehrheitlich auf Emissionen, etwa der Beschaffung von FFP2-Masken. durch Strahlung oder im Zusammenhang mit dem sog. „Diesel-Skandal“. Ich gehe davon aus, dass die Zahlen mit zunehmender Bekanntheit meiner neuen Aufgabe weiter ansteigen werden. Statistik der Anrufungen nach § 12 Abs. 1 IFG 106 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p106-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 107,
"content": "IFG-Anträge an meine Behörde an den meine Behörde gerichtete Eingaben, als auch auf meine Stellungnahmen zu Gesetzesvorhaben. Im Im Berichtszeitraum gingen insgesamt 211 Anträge auf Vergleich zu den Vorjahren bleibt das Aufkommen auf Informationszugang bei mir ein. Diese Anträge richteten diesem Niveau stabil. sich sowohl auf den Zugang zu Akteninhalten über selbst IFG-Anträge an meine Behörde Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 107",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p107-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 108,
"content": "10 Zentrale Anlaufstelle 10.1 Rückblick am 10. Mai 2021 der europäischen Hauptniederlassung von Facebook in Irland per einstweiliger Maßnahme für Die Zentrale Anlaufstelle (ZASt) koordiniert die gren- drei Monate untersagt, personenbezogene Daten von züberschreitende Zusammenarbeit den Datenschut- WhatsApp-Nutzenden mit Wohnsitz in Deutschland zu zaufsichtsbehörden des Bundes und der Länder mit eigenen Zwecken zu verarbeiten. den anderen Mitgliedstaaten der Europäischen Union, dem Europäischen Datenschutzausschuss (EDSA) und Um eine endgültige Maßnahme gegen Facebook zu der Europäischen Kommission. Aus Sicht der ZASt erhalten, ersuchte HmbBfDI den EDSA im Dringlich- war das Jahr 2021 geprägt von ersten wegweisenden keitsverfahren binnen einer Frist von zwei Wochen um Entscheidungen gegen führende Technologieunterneh- einen verbindlichen Beschluss. Dies war keine einfache men. Darüber hinaus wurde die Zusammenarbeit der Aufgabe für dieses Gremium, das sich aus Aufsichtsbe- deutschen Aufsichtsbehörden Richtung Europa intensi- hörden der 27 EU- und der drei EWR-Staaten sowie dem viert, befördert durch die nunmehr erfolgte Wahl eines Europäischen Datenschutzbeauftragten zusammensetzt. Stellvertreters des gemeinsamen Vertreters durch den Zudem handelte es sich um das erste Verfahren dieser Deutschen Bundesrat. Art überhaupt und es waren innerhalb der kurzen Frist eine Reihe schwieriger prozeduraler und datenschutz- Das Jahr 2021 markiert eine Zeitenwende in der Arbeit rechtlicher Fragen zu beantworten. Prozedural ging es des EDSA. So wurden erste wichtige, teils lang ersehnte um die Frage, welche Anforderungen an die Dringlich- Entscheidungen zu großen Technologieunternehmen keit zu stellen sind und ob gegebenenfalls eine Kons- getroffen. Damit verbunden sind maßgebliche Wei- tellation vorliegt, bei der die Dringlichkeit gesetzlich chenstellungen für die Durchsetzung der Datenschutz- vermutet wird. In der Sache befasste sich der EDSA mit rechte von Millionen Betroffener. Die Entscheidung der den verschiedenen Zwecken, zu denen personenbezo- luxemburgischen Datenschutzbehörde zum Online-Ver- gene Daten zwischen WhatsApp und Facebook ausge- sandhändler Amazon mit einem Bußgeld von 746 Mio. tauscht werden. Nach Auffassung des EDSA sind einige Euro hat die Durchschlagskraft der DSGVO demonst- der Datenaustausche mit hoher Wahrscheinlichkeit riert. Sie wird eine erhebliche Signalwirkung für mehr rechtswidrig, auch wenn eine abschließende Bewertung datenschutzgerechtes Handeln entfalten. Das intensive anhand der im Dringlichkeitsverfahren vorliegenden Ringen der nationalen und europäischen Datenschut- Informationen nicht möglich ist. zaufsichtsbehörden lässt sich gut an den Entscheidun- gen zum sozialen Netzwerk Facebook und dem Messen- Die ZASt sah sich vor die Herausforderung gestellt, ger-Dienst WhatsApp nachvollziehen. vorgelagert zur Abstimmung auf europäischer Ebene in einem engen Zeitrahmen die Abstimmung zwischen den Erstes Dringlichkeitsverfahren in Sachen Facebook: deutschen Aufsichtsbehörden der 16 Länder und des irische Aufsichtsbehörde zu Untersuchung verpflichtet Bundes zu organisieren. Dass diese nationale Abstim- Die angekündigten Änderungen bei der Datenschut- mung gelang, ist einer besonderen Kraftanstrengung zerklärung und den Nutzungsbedingungen des Mes- und der konsequenten Umsetzung der etablierten senger-Dienstes WhatsApp ließen befürchten, dass Prozesse der deutschen Aufsichtsbehörden zu verdan- personenbezogene Daten von WhatsApp an Facebook ken. Allerdings konnte sich die so gefundene deutsche weitergegeben würden. Mit Blick auf die erheblichen Ge- Position im EDSA trotz erreichter Unterstützung nicht fahren für die Datenschutzrechte der WhatsApp-Nutzen- mehrheitlich durchsetzen. Anders als von HmbBfDI er- den in Deutschland hatte der Hamburgische Beauftragte beten, ordnete der EDSA nicht unmittelbar die Verhän- für Datenschutz und Informationsfreiheit (HmbBfDI) gung endgültiger Maßnahmen gegen Facebook an. Er 108 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p108-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 109,
"content": "beschränkte sich darauf, der irischen Aufsichtsbehörde Durch Nichtberücksichtigung dieser Einsprüche vergebe lediglich aufzugeben, den Vorwürfen weiter nachzuge- der EDSA die Chance, neben der Transparenz auch die hen. Rechtmäßigkeit der zugrundeliegenden Datenverarbei- tungen von WhatsApp in den Blick zu nehmen, die die Streitbeilegungsverfahren in Sachen WhatsApp: höhe- federführende Aufsichtsbehörde als nicht vom Untersu- res Bußgeld erwirkt chungsumfang umfasst sehe. Mit Blick auf die ansons- Etwas erfolgreicher aus deutscher Sicht verlief ein ten positiv bewerteten Ergebnisse fand der Beschluss Verfahren zur Erfüllung datenschutzrechtlicher Trans- dennoch im Ergebnis die Zustimmung aller deutschen parenzpflichten durch den Messenger-Dienst WhatsApp. Aufsichtsbehörden. Am 28. Juli 2021 verabschiedete der Die europaweit federführende irische Aufsichtsbehörde EDSA seinen Beschluss, der u. a. zur Folge hatte, dass legte hierzu – nach langwierigen Untersuchungen – an ein deutlich höheres Bußgeld gegen WhatsApp in Höhe Heiligabend 2020 einen Beschlussentwurf vor, der u. a. von 225 Mio. Euro verhängt wurde. Zwischenzeitlich hat die Verhängung eines Bußgelds vorsah. Neben Deutsch- WhatsApp Rechtsmittel eingelegt, so dass die Entschei- land hatten zahlreiche weitere europäische Aufsichts- dung noch nicht rechtskräftig ist. behörden Einspruch gegen den Beschlussentwurf Zunehmend sichtbare Ergebnisse in der grenzüber- erhoben. Daraufhin leitete die irische Aufsichtsbehörde schreitenden Fallbearbeitung – in dieser Form erstmalig – ein Verfahren zur Streitbei- legung vor dem EDSA ein. Auch wenn aufgrund eines Der Abschluss grenzüberschreitender Fälle durch einfach gelagerten früheren Falles sowie kurz zuvor endgültige Entscheidungen nach Art. 60 DSGVO konnte erarbeiteter Leitlinien (vgl. Nr. 3.2.6) schon Orientie- im Jahr 2021 deutlich gesteigert werden (2018: 2, 2019: rungspunkte zum Streitbeilegungsverfahren vorlagen, 77, 2020: 89, 2021: 13924). Diese Form des Verfahrensab- stellten sich zahlreiche schwierige Fragen, auch ver- schlusses ist der in der DSGVO am detailliertesten gere- fahrensrechtlicher Art. So musste zunächst für jeden gelte und zugleich derjenige, an dem die Öffentlichkeit Einspruch und zu jedem Einspruchspunkt über dessen das stärkste Interesse hat. Diese Entscheidungen haben Zulässigkeit entschieden werden. Der EDSA nutzte diese zuvor das Kooperationsverfahren durchlaufen, das der Gelegenheit, um die Anforderungen an eine ordnungs- europaweiten Vereinheitlichung der Rechtsanwendung gemäße Einspruchsbegründung weiter zu entwickeln. dient. Dies, indem sich die europaweit federführenden Das ist eine Voraussetzung für eine weitere Befassung sowie die jeweils betroffenen Aufsichtsbehörden unter- in der Sache. Inhaltlich ging es um die Transparenz einander austauschen und abstimmen. So getroffene der Datenverarbeitung bei WhatsApp. Als Vorfrage war Entscheidungen sind keine Einzelauffassungen, sondern zu klären, bei welchen Vorgängen personenbezogene Ergebnis des Zusammenwirkens der beteiligten Auf- Daten verarbeitet werden. Hier prüfte der EDSA auch sichtsbehörden. Wenn dort Aussagen zur datenschutz- die Adressbuchuploadfunktion von WhatsApp. Er kam rechtlichen Bewertung von Verarbeitungen getroffen zu dem Ergebnis, dass die übertragenen Rufnummern werden, ist dies von besonderem Gewicht. Die so getrof- im konkreten Fall auch dann personenbezogene Daten fenen Entscheidungen werden auf dem Internetauftritt sind, wenn sie einem verlustbehafteten Streuwertverfah- des EDSA veröffentlicht.25 ren (englisch „Hashing“) unterzogen werden. Nachfolgend eine Auswertung der Entscheidungen in Wegen der Komplexität verlängerte die EDSA-Vorsitzen- grenzüberschreitenden Fällen, die von den Aufsichtsbe- de die Verfahrensfrist auf zwei Monate. Der EDSA-Be- hörden im Jahr 2021 als endgültige Entscheidungen nach schlussentwurf sah vor, den Einsprüchen teilweise Art. 60 DSGVO vorgelegt wurden: stattzugeben. Die Nichtberücksichtigung einiger deut- scher Einspruchspunkte stieß bei einzelnen deutschen Aufsichtsbehörden auf Bedenken. 24\t\u0007Bei der Ermittlung der Gesamtzahl der endgültigen Entscheidungen des Jahres 2021 für diesen Tätigkeitsbericht wurden 198 Verfahrensabschlüsse, die die irische Aufsichtsbehörde durch gütliche Einigung erzielt hat, nicht mit einbezogen. 25 https://edpb.europa.eu/our-work-tools/consistency-findings/register-for-article-60-final-decisions_de Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 109",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p109-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 110,
"content": "Endgültige Entscheidungen nach Art. 60 DSGVO im Jahr 2021 Wie die monatsweise Betrachtung zeigt, war in den Mo- Deutschland war sehr aktiv bei der Bearbeitung gren- naten April und Juni ein deutlicher Anstieg der endgülti- züberschreitender Fälle und konnte hier im Jahr 2021 gen Entscheidungen zu verzeichnen. zusammen mit Frankreich den Spitzenplatz einnehmen: Bei Betrachtung der endgültigen Entscheidungen nach Der Anstieg im April ist darauf zurückzuführen, dass die Art. 60 DSGVO stammen 22 von 139 Entscheidungen aus irische Aufsichtsbehörde auf einen Schlag 198 Verfah- Deutschland. Dabei wurden die gütlichen Einigungen rensabschlüsse vorgelegt hatte. Rechtlich handelt es der irischen Aufsichtsbehörde außer Acht gelassen. sich bei diesen Verfahrensabschlüssen allerdings nicht Aus Frankreich stammen ebenfalls 22 Entscheidungen. um endgültige Entscheidungen nach Art. 60 DSGVO, Auf den weiteren Plätzen folgen Luxemburg mit 13 und sondern um gütliche Einigungen (englisch „amicable Schweden mit 12 Entscheidungen. settlements“) zwischen Beschwerdeführenden und Zusammenarbeit zwischen Gemeinsamen Vertreter Verantwortlichen, ohne dass es zu einer behördlichen und ZASt mit dem neu gewählten Stellvertreter Sachentscheidung kam. Hierin inbegriffen sind Fäl- le, bei denen die Verantwortlichen Zugeständnisse Mehr als drei Jahre nach Inkrafttreten der Vorschrift im machten, die Beschwerdeführenden sich im weiteren Bundesdatenschutzgesetz (BDSG) hat der Bundesrat am Verfahren aber nicht mehr zurückgemeldet haben. Bei 25. Juni 2021 den Bayerischen Landesbeauftragten für der Ermittlung der Gesamtzahl der endgültigen Ent- den Datenschutz – Herrn Prof. Dr. Petri – zu meinem scheidungen des Jahres 2021 für diesen Tätigkeitsbericht Stellvertreter im EDSA gewählt. Der Stellvertreter hat wurden die 198 Verfahrensabschlüsse, die die irische u. a. die Aufgabe, zusammen mit mir möglichst im Ein- Aufsichtsbehörde durch gütliche Einigung erzielt hat, vernehmen gemeinsame Standpunkte für die Verhand- nicht mit einbezogen. lungsführung im EDSA vorzuschlagen. Darüber hinaus vertritt er mit mir zusammen die Positionen der deut- Der Anstieg im Juni liegt darin begründet, dass sich die schen Aufsichtsbehörden im Plenum. Zudem wird dem Aufsichtsbehörden zuvor darauf verständigt hatten, auch Stellvertreter in bestimmten Länderangelegenheiten das in einfach gelagerten grenzüberschreitenden Fällen, bei Stimmrecht im EDSA übertragen. Nach der Wahl wurden denen kein Datenschutzverstoß festgestellt wurde, eine mit dem Stellvertreter organisatorische Maßnahmen Entscheidung vorzulegen. In Umsetzung dessen hat Lux- vereinbart, die eine effiziente Zusammenarbeit zwischen emburg zu einer Reihe bereits abgeschlossener Verfah- BfDI als gemeinsamen Vertreter, den Aufsichtsbehör- ren nochmals deklaratorisch verfahrensabschließende den der Länder und der beim BfDI angesiedelten ZASt Entscheidungen verfasst. sicherstellen. 110 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p110-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 111,
"content": "Optimierung des Abstimmungsprozesses für die auf Anregung der ZASt im Jahr 2020 begonnen, ein Herstellung gemeinsamer Standpunkte im Kontext neues Modul im IMI zu konzipieren (vgl. 29. TB Nr. 11.2). schriftlicher Verfahren Dieses Modul wurde auf die Bedürfnisse der deutschen Zur Vorbereitung des Abstimmungsverhaltens im EDSA Aufsichtsbehörden zugeschnitten. Nach einem Test ist es bei schriftlichen Verfahren Aufgabe der ZASt, des neuen IMI-Moduls mit den Aufsichtsbehörden des die Herstellung eines gemeinsamen Standpunktes Bundes und der Länder konnte die Umstellung auf den zwischen den Aufsichtsbehörden des Bundes und der neuen optimierten Abstimmungsprozess Mitte 2021 ab- Länder nach § 18 BDSG zu koordinieren. Schriftliche geschlossen werden. Dies erleichtert die Stimmabgabe Verfahren des EDSA kommen seit Beginn der Pandemie und -auswertung, die jetzt nicht mehr per E-Mail erfolgt, besonders häufig vor (2018: 6, 2019: 4, 2020: 47, 2021: sondern medienbruchfrei, arbeitseffizient und sicher 52) und Abstimmungen erfolgen über das Europäische Binnenmarktinformationssystem IMI. Parallel führt direkt im IMI. die ZASt die nationale Abstimmung über den gemeinsa- Querverweise: men Standpunkt durch, was bislang außerhalb vom IMI per E-Mail erfolgte. Um diesen in Europa einzigartigen 3.2.6 Leitlinien für Streitbeilegungsverfahren vor dem internen Abstimmungsprozess zu optimieren, wurde EDSA Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 111",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p111-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 112,
"content": "11 Wo bleibt das Positive? So ist es gemeinsam mit dem BMU gelungen, eine daten- In den Beiträgen der vorherigen Kapitel muss es natur- schutzfreundliche Ausgestaltung der Regelung auf den gemäß oft leider vor allem um die kritische Begleitung Weg zu bringen. von Gesetzgebung, die ungenügende Umsetzung von Datenschutzvorschriften oder das Auffinden von Fehlern Ich wünsche mir weiterhin eine solch vertrauensvolle bei Kontrollen gehen. Auch in diesen Beiträgen zeige und erfolgreiche Zusammenarbeit – ausdrücklich auch ich allerdings stets auf, dass im Rahmen der Beratungen mit anderen Bundesministerien und Bundesbehörden! und Kontrollen vieles zum Besseren gelöst wird. Um aber noch deutlicher zu machen, wie das Zusam- menwirken zwischen Aufsicht und beaufsichtigter 11.2 Datenschutzfreundliche Behörde zu richtig positiven Ergebnissen führen kann, Katastrophenwarnung weil gut zusammengearbeitet wurde, führen wir auch Seit der Flutkatastrophe im Jahr 2021 ist geplant, auf dafür einige zusätzliche Beispiele an. Unser Ziel: Gerne eine bereits in anderen Ländern bewährte Technik für mehr davon. die Alarmierung der Bevölkerung zurückzugreifen. Sirenen oder UKW- bzw. DAB-Radios sind sehr daten- 11.1 Erfolgreiche Zusammenarbeit schutzfreundliche Medien für die Alarmierung der Be- mit BMU völkerung. Hier werden keine Daten der Empfangenden verarbeitet, da die Nachricht ohne Rückkanal versendet Viele ambitionierte Gesetzgebungsverfahren des ver- wird. Anders sieht es bei Warn-Apps aus, bei denen beim gangenen Jahres entsprachen leider nicht immer den Anbieter, Betriebssystemhersteller und ggf. bei Dienst- Vorgaben der Gemeinsamen Geschäftsordnung der leistern Datenspuren entstehen können. Diese Apps Bundesministerien – insbesondere wegen zu enger Zeit- sind außerdem nicht optimal zur Alarmierung geeignet, pläne. Das BMU zeigt: Es geht auch anders! insbesondere da nur ein begrenzter Teil der Bevölke- rung diese installiert oder installieren kann. Dennoch Hervorheben möchte ich das erfreuliche Beispiel für die setzte die Bundesregierung auf diese Apps, die auch erfolgreiche Kooperation zwischen dem Bundesministe- die Anforderungen von Artikel 110 der Richtlinie über rium für Umwelt, Naturschutz und nukleare Sicherheit den europäischen Kodex für die elektronische Kommu- (BMU) und mir. Im Rahmen der Beratungen in dem nikation erfüllen sollten. Hierin ist geregelt, dass die Gesetzgebungsverfahren der Dritten Verordnung zur Mitgliedsstaaten bis zum 21. Juni 2022 ein technisches Änderung der Strahlenschutzverordnung, in der es unter Warnsystem etablieren sollen, mit dem Mobilfunknut- anderem um die Übertragung messungsbezogener Da- zende öffentliche Warnungen leicht(er) empfangen ten ging, erfolgte meine Beteiligung frühzeitig und unter können. Einhaltung angemessener Fristen. Nach den Flutkatastrophen in Nordrhein-Westfalen Dank meiner frühzeitigen Einbindung waren konstruk- und Rheinland-Pfalz im Juli 2021 will man nun auf eine tive Beratungen möglich. Meine datenschutzrechtlichen bereits in anderen Ländern bewährte Technik für die Anregungen, insbesondere zur Präzisierung und Daten- Alarmierung der Bevölkerung zurückgreifen. Noch be- minimierung, wurden aufgegriffen und die besproche- vor das überarbeitete Telekommunikationsgesetz (TKG) nen Änderungswünsche im weiteren Gesetzgebungsver- in Kraft trat, wurde der § 164 a TKG eingefügt, der die fahren vereinbarungsgemäß umgesetzt. Einführung von öffentlichen Warnungen über Cell-Bro- adcast regelt. Wie bei Sirenen und Radios ist kein 112 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p112-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 113,
"content": "Rückkanal erforderlich und somit fallen keine Daten der 11.4 Öffentlichkeit herstellen, Empfangenden an. Durch das neue System wird es blitz- Transparenz schaffen, Daten schnell möglich sein, Warnungen an empfangsbereite Mobilfunkendgeräte, die sich in dem von der auslösen- schutz fördern! den Behörde bestimmten geographischen Gebiet befin- Datenschutz schließt die Sensibilisierung der Öffent- den, auszusenden. Auch wenn der ursprüngliche Anstoß lichkeit, Schaffung der Transparenz und Förderung des für die Einführung der Warnungen über Cell-Broadcast fachlichen Diskurses ein. Unsicherheiten im Umgang nichts mit dem Datenschutz zu tun hatte, begrüße ich mit personenbezogenen Daten oder Schwierigkeiten die Einführung dieser datenschutzfreundlichen Techno- bei der Beurteilung datenschutzrechtlicher Fragen las- logie ausdrücklich. sen sich vermeiden, indem man darüber diskutiert und Querverweise: im Gespräch bleibt. 5.1 Telekommunikationsgesetzgebung TKG/TTDSG Im Berichtszeitraum ist es mir im Wege einer fachlichen Offensive gelungen, einige wichtige datenschutzrechtli- che Fragestellungen aus ihrem Schattendasein heraus- 11.3 Deaktivierung von Zugängen und einer breiten öffentlichen Debatte zuzuführen. in der Abordnung →→ Mit der Veröffentlichung meines Positionspapiers zum Grundsatz der Zweckbindung in polizeilichen Bei der Zollfahndung konnten durch die gemeinsame Informationssystemen habe ich meinen Standpunkt Aufarbeitung einer Datenschutzverletzungsmeldung betreffend die Umsetzung dieses zentralen daten- Verbesserungen im Umgang mit Zugangsrechten zu schutzrechtlichen Grundsatzes in polizeilichen Infor- polizeilichen Datenbanken erreicht werden. mationssystemen auch im Interesse der Transparenz Die Zollfahndung meldete mir den unberechtigten Abruf meiner Aufsichtstätigkeit kundgetan. In der Poli- personenbezogener Daten über eine dienstliche Nutzer- zeipraxis ist die Einhaltung der Zweckbindung leider kennung als Datenschutzverstoß. Hintergrund war, dass keine Selbstverständlichkeit (vgl. z. B. u. Nr. 8.2.2; 28. eine beschäftigte Person kurzzeitig zu einer externen TB Nr. 6.7.3). Das Positionspapier enthält Ausführun- Behörde abgeordnet war und ihren bestehenden Zugang gen insbesondere zu Erforderlichkeit der Zweckfest- zum automatisierten Abruf aus einem amtlichen Ver- legung bzw. -trennung, Vergabe von Zugriffsrechten, zeichnis weisungswidrig zur dortigen Aufgabenerfüllung Recherchemöglichkeiten und Kennzeichnungs- und genutzt hat. Bei der Aufarbeitung dieses Sachverhaltes Protokollierungspflichten in polizeilichen Informati- habe ich u. a. geprüft, ob die Zollfahndung ausreichende onssystemen. technische und organisatorische Maßnahmen ergriffen hatte, um unbefugte Abrufe aus ihren Datenbanken zu →→ Im Oktober habe ich ein Symposium zum Thema „Polizeiliche Informationssysteme im Zeitalter verhindern. von KI und Big Data – Notwendig für polizeiliche Im Rahmen der gemeinsamen Aufarbeitung wurden Aufgaben oder multifunktionaler Datenspeicher auf Meldewege und Geschäftsprozesse etabliert, um sämt- Vorrat?“ durchgeführt. Hochkarätige Vertreterinnen liche Zugänge zu polizeilich genutzten Datenbanken und Vertreter aus Wissenschaft, Politik, Datenschut- für die Dauer einer längerfristigen Abordnung an eine zaufsicht und Polizeipraxis diskutierten über die ak- externe Stelle technisch zu deaktivieren. Sofern diese tuellen datenschutzrechtlichen Herausforderungen eingehalten werden, sollten sich gleichartige Daten- bei der Ausgestaltung polizeilicher Informationssys- schutzverletzungen nicht wiederholen. teme. Es handelte sich um eine öffentliche Veranstal- tung im Hybrid-Format, an der 350 Personen virtuell teilgenommen haben. In der Quintessenz dieser Veranstaltung wurde erneut deutlich, dass die unter- schiedlichen Standpunkte bisweilen gar nicht so weit voneinander entfernt sind, wie es zunächst scheint. Aus meiner Sicht sind weitere Diskussionen notwen- dig, um polizeifachliche Belange mit den Interessen der Zivilgesellschaft und der Datenschutzaufsicht auf einem soliden rechtsdogmatischen Fundament miteinander zu vereinen. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 113",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p113-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 114,
"content": "Die Videoaufzeichnung der Veranstaltung ist auf für den Einsatz von KI im Bereich der Strafverfol- meiner Website verfügbar (www.bfdi.bund.de/me- gung und Gefahrenabwehr zu konkretisieren und diathek). Jeder hatte die Möglichkeit, Fragen an die eine Positionierung des Bundesbeauftragten für den Diskutanten zu stellen. Von dieser Möglichkeit haben Datenschutz und die Informationsfreiheit (BfDI) viele Bürgerinnen und Bürger Gebrauch gemacht. auch in internationalen Gremien zu erleichtern. Eine →→ Schließlich habe ich mit dem Konsultationsverfah- Positionierung kann auch angesichts der aktuellen ren zur Künstlichen Intelligenz (KI) im Bereich der Vorstöße der EU-Kommission in Sachen KI (vgl. u. Strafverfolgung und Gefahrenabwehr sieben Thesen Nr. 4.2.) nicht früh genug erarbeitet werden. zur öffentlichen Diskussion gestellt. Alle waren dazu Querverweise: eingeladen, sich mit ihren Kommentaren und Stel- lungnahmen an der Konsultation zu beteiligen (vgl. 4.2 Künstliche Intelligenz – Regulierung als gesamtge- u. Nr. 4.2.2). Die eingegangenen Stellungnahmen sellschaftliche Aufgabe, 8.2.2 Vorgangsbearbeitungssys- helfen dabei, die verfassungsrechtlichen Vorgaben tem des Bundeskriminalamts 114 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p114-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 115,
"content": "Themenzuordnung nach Bundestagsausschüssen Ausschuss für Arbeit und Soziales 4.1.3 Digitales COVID-Zertifikat der EU 3.1.4.4 Verarbeitung des Datums „Impfstatus“ von 4.2 Künstliche Intelligenz – Regulierung als Beschäftigten durch die Arbeitgeberin oder gesamtgesellschaftliche Aufgabe den Arbeitgeber 5.1 Telekommunikationsgesetzgebung TKG/ 3.2.5.1 Auskunftsanspruch bei den Sozialleistungs- TTDSG trägern 5.3 Open-Data-Gesetz 4.3 Interdisziplinärer Beirat Beschäftigtendaten- 5.3.1 Open-Data-Strategie der Bundesregierung schutz 5.9 EU Digitalgesetzgebung 7.5 Transparenz im Gesetzgebungsverfahren 6.2 Datenstrategie der Bundesregierung 8.2.1 Fragebogenkontrolle Datenschutzbeauftrag- 6.9 Erstattungsfähige Digitale Gesundheits te in Jobcentern anwendungen Auswärtiger Ausschuss 6.10 Digitalisierung öffentliche Verwaltung 3.3 Global Privacy Assembly 6.11 Brexit – Datentransfer mit dem Vereinigten Königreich 3.3.2 Reference Panel 6.18 Anwendungen auf elektronischer Ausschuss für Bildung, Forschung und Technikfolgen- Gesundheitskarte abschätzung 6.26 Personalverwaltungssystem PVSplus: Noch 7.5 Transparenz im Gesetzgebungsverfahren nicht gelöste datenschutzrechtliche Heraus- forderungen Ausschuss Digitales 7.5 Transparenz im Gesetzgebungsverfahren 3.1.4.3 Maßnahmen zum Schutz personenbezoge- ner Daten bei der Übermittlung per E-Mail Ausschuss für Ernährung und Landwirtschaft 3.1.3 AK Microsoft 7.5 Transparenz im Gesetzgebungsverfahren 3.2.2.1 Taskforce Supplementary Measures / Umset- Ausschuss für die Angelegenheiten der Europäischen zung Schrems II Union 3.2.2.2 Schwerpunkt Drittlandübermittlung 3.2.2.1 Taskforce Supplementary Measures / Umsetzung Schrems II 3.3 Global Privacy Assembly 3.2.2.2 Schwerpunkt Drittlandübermittlung 3.3.2 Reference Panel 6.22 Eurojust, Europäische Staatsanwaltschaft: 3.4.2 Berlin Group Neue Zuständigkeiten des BfDI9 EU Digital- 4.1.1 Corona-Warn-App gesetzgebung 4.1.2 SORMAS 7.5 Transparenz im Gesetzgebungsverfahren Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 115",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p115-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 116,
"content": "Ausschuss für Familie, Senioren, Frauen und Jugend 6.8 Umsetzung des Diagnose-Korrektur-An- spruch § 305 SGB V 7.5 Transparenz im Gesetzgebungsverfahren 6.9 Erstattungsfähige Digitale Gesundheitsan- Finanzausschuss wendungen 7.5 Transparenz im Gesetzgebungsverfahren 6.18 Anwendungen auf elektronischer Gesund- heitskarte 8.1.3 VIS 7.5 Transparenz im Gesetzgebungsverfahren 8.1.4 Kontrolle der getätigten Abfragen im Zoll- fahndungsinformationssystem INZOL Haushaltsausschuss 8.2.9 Kontrolle und Beratung bei der Financial 9.1 Organisationsuntersuchung Intelligence Unit (FIU) 9.2 Personalentwicklung im Jahr 2021 Ausschuss für Gesundheit Ausschuss für Inneres und Heimat 3.1 Konferenz der unabhängigen Datenschutz aufsichtsbehörden des Bundes und der 3.1.3 Arbeitskreis Microsoft Länder (DSK) 5.4 Änderungen am Ausländerzentralregister 3.1.4.1 Coronavirus: Es ist notwendig, Nachweise gesetz über Impfungen, Testergebnisse und Genesungen gesetzlich zu regeln 5.5 Bundespolizeigesetz 3.2.5.2 Auskunftserteilung nach Art. 15 durch 5.6 Änderungen am BND-Gesetz treten in Kraft Krankenkassen 5.7 Evaluierung des BDSG 4.1.1 Corona-Warn-App 5.8 IT-Sicherheitsgesetz 4.1.2 SORMAS 6.2 Datenstrategie der Bundesregierung 4.1.3 Digitales COVID-Zertifikat der EU 6.10 Digitalisierung der öffentlichen Verwaltung 4.1.4 Coronamelde-Verordnung 6.12 Outing von Asylbewerbern 4.1.5 Die Bundesnotbremse und die Ausnahme- 6.13 Handydatenauswertung durch Bundesamt verordnung für Migration und Flüchtlinge rechtswidrig? 4.1.6 Coronavirus-Testverordnung 6.14 P 20 – Polizei 20/20: Der Weg zu einem ge- 4.1.7 Das „EpiLage-Fortgeltungsgesetz“ meinsamen Datenhaus 4.1.8 Zweites Infektionsschutz-Änderungsgesetz: 6.15 GETZ: Unzureichende Evaluation digitale Nacherfassung der Impfungen und 6.16 Datenverarbeitung beim BND 3G am Arbeitsplatz 6.20 Das Sicherheitsüberprüfungsgesetz – 4.1.9 Digitales Impfquotenmonitoring Ein Gesetz mit vielen Fragezeichen 5.10 Entwicklungen bei Gesundheitsregistern 6.22 Pilotprojekt zur „intelligenten“ Videoüber- 5.11 Datenerhebungsbefugnisse der Krankenkas- wachung am Bahnhof Berlin Südkreuz, sen im Krankengeldfallmanagement 2. Teil 6.1 Elektronische Patientenakte 6.23 Zusammenarbeit mit anderen Kontrollorga- nen im Bereich der Nachrichtendienste des 6.4 Neustart des Forschungsdatenzentrums Bundes beim BfArM 6.24 Passenger Name Records (PNR) – Zentrale 6.5 Nutzung der Krankenversichertennummer Fragen sind weiterhin ungeklärt in der Telematikinfrastruktur 6.26 Personalverwaltungssystem PVSplus: 6.6 Modellvorhaben Genomsequenzierung Noch nicht gelöste datenschutzrechtliche 6.7 Pränataltests in Hongkong Herausforderungen 116 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p116-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 117,
"content": "7.3 Open Government Partnership 3.2.2.2 Schwerpunkt Drittlandübermittlung 7.5 Transparenz im Gesetzgebungsverfahren 3.2.5 Leitlinien Recht auf Auskunft Art. 15 DSGVO 8.1.1 Kontrollen und Beanstandungen bei 6.13 Handydatenauswertung durch Bundesamt Anti-Terror-Datei (ATD) und Rechtsextremis- für Migration und Flüchtlinge rechtswidrig? mus-Datei (RED) 6.20 Das Sicherheitsüberprüfungsgesetz – Ein 8.1.2 Eurodac Gesetz mit vielen Fragezeichen 8.1.3 VIS 6.22 Eurojust, Europäische Staatsanwaltschaft: Neue Zuständigkeiten 8.1.5 Schengener Informationssystem 6.24 Passenger Name Records (PNR) – Zentrale 8.2.1 Fragebogenkontrolle Datenschutzbeauftrag- Fragen sind weiterhin ungeklärt te in Jobcentern 7.5 Transparenz im Gesetzgebungsverfahren 8.2.2. Vorgangsbearbeitungssystem des Bundes kriminalamts Sportausschuss 8.2.3 Erste Anordnung gegenüber dem BKA 7.5 Transparenz im Gesetzgebungsverfahren 8.2.4 Funkzellendatenbank des Bundeskriminal amts Ausschuss für Tourismus 8.2.5 Verarbeitung erkennungsdienstlicher Daten 7.5 Transparenz im Gesetzgebungsverfahren durch das Bundeskriminalamt in INPOL-Z Ausschuss für Umwelt, Naturschutz, nukleare 8.2.6 Datenschutzaufsicht und Beratung beim Sicherheit und Verbraucherschutz Bundesamt für den Militärischen Abschirm- dienst (BAMAD) 3.1.2 Positivdaten Auskunfteien 8.2.7 Datenschutzaufsicht und Beratung beim 7.5 Transparenz im Gesetzgebungsverfahren Bundesamt für Verfassungsschutz (BfV) 7.9.2 UIG oder IFG? Eine manchmal nicht 8.2.8 Kontrollen zum Sicherheitsüberprüfungs einfache Abgrenzungsfrage gesetz 11.1 Erfolgreiche Zusammenarbeit mit BMU 11.4 Öffentlichkeit herstellen, Transparenz schaf- fen, Datenschutz fördern! Verkehrsausschuss 7.5 Transparenz im Gesetzgebungsverfahren Ausschuss für Klimaschutz und Energie 7.6 Beanstandung des BMVI wegen der 7.5 Transparenz im Gesetzgebungsverfahren Verweigerung des Informationszugangs ohne Grund Ausschuss für Kultur und Medien 6.17 Überführung der Stasi-Akten ins Verteidigungsausschuss Bundesarchiv 7.5 Transparenz im Gesetzgebungsverfahren 7.5 Transparenz im Gesetzgebungsverfahren 8.1.1 Kontrollen und Beanstandungen bei Anti-Terror-Datei (ATD) und Rechtsextremis- Ausschuss für Menschenrechte und humanitäre Hilfe mus-Datei (RED) 6.12 Outing von Asylbewerbern 8.2.6 Datenschutzaufsicht und Beratung beim Bundesamt für den Militärischen Abschirm- Rechtsausschuss dienst (BAMAD) 3.1.2 Positivdaten Auskunfteien 3.1.4.3 Maßnahmen zum Schutz personenbezoge- ner Daten bei der Übermittlung per E-Mail 3.2.2.1 Taskforce Supplementary Measures / Umset- zung Schrems II Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 117",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p117-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 118,
"content": "6.11 Brexit – Datentransfer mit dem Vereinigten Ausschuss für Wahlprüfung, Immunität und Königreich Geschäftsordnung 6.20 Das Sicherheitsüberprüfungsgesetz – Ein 5.2 Lobbyregistergesetz Gesetz mit vielen Fragezeichen Wirtschaftsausschuss 7.5 Transparenz im Gesetzgebungsverfahren 8.2.10 Kontrolle nicht lizenzierter Postdienstleister 3.1 Konferenz der unabhängigen Datenschut- zaufsichtsbehörden des Bundes und der 8.2.11 Fragebogenkontrolle Betroffenenrechte Länder (DSK) 11.2 Datenschutzfreundliche Katastrophen 3.1.3 Arbeitskreis Microsoft warnung 3.1.2 Positivdaten Auskunfteien Ausschuss für Wirtschaftliche Zusammenarbeit und Entwicklung 3.2.2.2 Schwerpunkt Drittlandübermittlung 7.5 Transparenz im Gesetzgebungsverfahren 3.4.2 Berlin Group 5.1 Telekommunikationsgesetzgebung TKG/ Ausschuss für Wohnen, Stadtentwicklung, Bauwesen TTDSG und Kommen 5.9 EU Digitalgesetzgebung 7.5 Transparenz im Gesetzgebungsverfahren 6.3 Kooperation zwischen Kartell- und Daten- schutzaufsichtsbehörden 118 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p118-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 119,
"content": "Anlagen Anlage 1 BundeswehrFuhrparkService GmbH BWPOST GmbH Kontrollierte und besuchte Stellen Cuma Gün Kuriertransporte e. K. Deutsche Post AG Vier Unternehmen aus den Branchen Gebäude Deutsches Patent- und Markenamt bewachung, Gebäudereinigung, Strom DHL Paket GmbH allgäu mail GmbH Direktmarketing Kusche GmbH Amazon Deutschland Transport GmbH DPD Deutschland GmbH Auswärtiges Amt dvs – Deutscher Versand Service GmbH Betriebszentrum IT-System der Bundeswehr Engagement Global gGmbH BS Saar-Mosel GmbH Eurojust Bundesagentur für Arbeit Europol-Kontrolle, Teilnahme an Expertenmission Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Familienkasse Baden-Württemberg-Ost Bundesamt für den Militärischen Abschirmdienst Familienkasse Baden-Württemberg-West Bundesamt für Justiz Familienkasse Bayern Nord Bundesamt für Verfassungsschutz Familienkasse Bayern Süd Bundesamt für Wirtschaft und Ausfuhrkontrolle Familienkasse Berlin-Brandenburg Bundesanstalt für Finanzdienstleistungsaufsicht Familienkasse Hessen Bundesanstalt für Immobilienaufgaben Familienkasse Niedersachsen-Bremen Bundesfamilienkasse beim Bundesverwaltungsamt Familienkasse Nord Bundeskartellamt Familienkasse Nordrhein-Westfalen Nord Bundeskriminalamt Familienkasse Nordrhein-Westfalen Ost Bundesministerium der Verteidigung Familienkasse Nordrhein-Westfalen West Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung Familienkasse Rheinland-Pfalz Saarland Bundesnachrichtendienst Familienkasse Sachsen Bundespolizeidirektion Koblenz Familienkasse Sachsen-Anhalt-Thüringen Bundespolizeidirektion Sankt Augustin FedEx Express Germany GmbH Bundespolizeipräsidium Financial Intelligence Unit Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 119",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p119-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 120,
"content": "Funke Postservice GmbH, Erfurt Jobcenter Zollernalbkreis General Logistics Systems Germany GmbH & Co. OHG Lehmensiek Kabelnetze & Antennentechnik GmbH Generaldirektion Wasserstraßen und Schifffahrt Niederlande, Teilnahme an Expertenmission zur Generalsekretariat der Europäischen Schulen in Brüssel Schengen-Evaluierung Hanse Jobcenter Rostock Ostfriesische Transportgesellschaft Janssen Hermes Germany GmbH Parlamentarisches Kontrollgremium Jobcenter Berlin Friedrichshain-Kreuzberg pd.MEDIENLOGISTIK GmbH Jobcenter Bremen Physikalisch-Technische Bundesanstalt Jobcenter Dresden PIN AG Jobcenter Erfurt Postcon NRW GmbH Jobcenter Kaiserslautern Stadt T-Systems Rechenzentrum Biere in Bördelund Jobcenter Kiel United Parcel Service Deutschland S. à r. l. & Co. OHG Jobcenter Köln Vodafone GmbH Jobcenter Landeshauptstadt Potsdam Zentrale Stelle für Informationstechnik im Sicherheits- Jobcenter Landkreis Diepholz bereich Jobcenter Landkreis Kaiserslautern Zollkriminalamt Jobcenter Landkreis Karlsruhe Jobcenter Magdeburg Diese Liste enthält auch schriftliche Kontrollen. Manche der aufgeführten Stellen wurden mehrfach kontrolliert. Jobcenter Mainz Bei den in dieser Liste genannten Stellen wurde wäh- Jobcenter Mannheim rend des Berichtszeitraums ein Kontroll- oder Bera- Jobcenter München tungsgespräch vor Ort, virtuell oder in schriftlicher Jobcenter Region Hannover Form begonnen. Dies bedeutet jedoch nicht, dass alle Gesamtverfahren ebenfalls im Berichtszeitraum abge- Jobcenter Regionalverband Saarbrücken schlossen werden konnten. Insbesondere liegt noch Jobcenter Stadt Kassel nicht für sämtliche Verfahren ein Abschlussbericht vor. Diese veröffentlicht der BfDI im Rahmen der rechtlichen Jobcenter team.arbeit.hamburg Möglichkeiten zeitnah nach der Fertigstellung auf seiner Jobcenter Vorpommern-Greifswald Nord Website unter: www.bfdi.bund.de/kontrollberichte 120 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p120-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 121,
"content": "Anlage 2 Übersicht über Maßnahmen/Beanstandungen gegenüber öffentlichen Stellen Stelle Maßnahme/Beanstandung Grund BARMER GEK Verwarnung gemäß Art. 58 Verstoß gegen Artikel 5 Abs. 1 lit. a) und f) und Art. 32 Abs. 1 Abs. 2 lit. b) DSGVO lit. b) wegen unerlaubter Übermittlung und Verarbeitung von Sozialdaten. Ebenfalls Verstoß gegen Artikel 33 DSGVO wegen nicht fristgerechter Meldung des Verstoßes nach Bekannt werden. BARMER GEK Verwarnung gemäß Art. 58 Verstoß gegen Art. 9 Abs. 1 DSGVO i.V.m. § 35 Abs. 1 SGB I Abs. 2 lit. b) DSGVO indem die Gesundheitsdaten einer Versicherten entgegen der gebotenen Sorgfalt an ein Sanitätshaus zur Beschaffung von Pflegehilfsmitteln weitergegeben wurden, ohne dass hierfür eine wirksame Rechtsgrundlage vorlag. BARMER GEK Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der elektronischen Pa- Abs. 2 lit. d) DSGVO tientenakte (ePA) bis zum 31.12.2021 so auszugestalten, dass Versicherte eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 SGB V in den Zugriff sowohl auf spezifische Doku- mente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der ePA barrierefrei erteilen („feingranulares Zugriffsmanagement“) können. BARMER GEK Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der ePA binnen eines Abs. 2 lit. d) DSGVO Jahres so auszugestalten, dass auch Frontend-Nichtnutzer auch ohne die Bestellung eines Vertreters in die sie betref- fenden personenbezogenen Daten (sowohl Dokumente und Datensätze der ePA als auch Protokolldaten) Einblick nehmen können. BIG direkt Gesund Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 i. V. m. Art. 9 Abs. 2 DSGVO indem fahr- Abs. 2 lit. b) DSGVO lässig und nicht datenschutzkonform im Rahmen des Kran- kengeldfallmanagements bei einer Versicherten besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet wurden ohne ihre vorherige schriftliche Einwilli- gung nach § 44 Abs. 4 SGB V einzuholen. BKK ProVita Verwarnung gemäß Art. 58 Verstoß gegen Art. 9 Abs. 1 DSGVO i.V.m. § 35 Abs. 1 SGB I Abs. 2 lit. b) DSGVO indem von der Versicherten ohne Rechtsgrundlage aktuelle Facharztbefunde (Gesundheitsdaten) zur Prüfung des Krankgeldbezuges angefordert wurden. Bundesagentur für Arbeit Verwarnung gemäß Art. 58 Verstoß gegen Art. 15 DSGVO wegen zunächst rechtswidriger Abs. 2 lit. b) DSGVO Ablehnung und nicht fristgerechter vollständiger Erteilung einer Auskunft nach Art. 15 DSGVO unter Missachtung der gebotenen Sorgfalt Bundesagentur für Arbeit Verwarnung gemäß Art. Verstoß gegen Art. 5 Abs. 1 lit. c) DSGVO wegen des Abdrucks 58 Abs. 2 lit. b) DSGVO und der vollständigen Bankverbindung auf Beihilfebescheiden Anweisung gem. Art. 58 Abs. ohne entsprechende Erforderlichkeit, Anweisung zur 2 lit. d) DSGVO Anonymisierung oder Wegfall der Bankverbindung auf den Beihilfebescheiden Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 121",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p121-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 122,
"content": "Stelle Maßnahme/Beanstandung Grund Bundesagentur für Arbeit Verwarnungen gemäß Art. Verstoß gegen Art. 5 Abs. 1 lit. a) und Art. 6 Abs. 1 DSGVO 58 Abs. 2 lit b) DSGVO wegen der Übermittlung personenbezogener Daten ohne Rechtsgrundlage und Verstoß gegen Art. 5 lit. d) DSGVO wegen der sorgfaltswidrigen Missachtung der Richtigkeit der gespei- cherten personenbezogenen Daten Bundesagentur für Arbeit Verwarnung gemäß Art. 58 Verstoß gegen Art. 15 DSGVO wegen der Negativauskunft zur Abs. 2 lit. b) DSGVO Verarbeitung von Sozialdaten, obwohl personenbezogene Daten verarbeitet werden Bundesagentur für Arbeit Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO wegen der sorgfalts- Abs. 2 lit. b) DSGVO widrigen Kontakaufnahme des ärztlichen Dienstes zum behan- delnden Arzt ohne vorherige Schweigepflichtentbindung Bundesagentur für Arbeit Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO wegen der Verwen- Abs. 2 lit. b) DSGVO dung einer E- Mail-Adresse zur Kontaktaufnahme obschon die Löschung ebendieser Mailadresse bereits bestätigt war Bundesagentur für Arbeit Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 lit. a) und Art. 6 Abs. 1 lit. c) DSGVO wegen Abs. 2 lit b) DSGVO der Übermittlung einer Telefonnummer und Mailadresse an einen Maßnahmeträger ohne Rechtsgrundlage Bundesagentur für Arbeit Verwarnung gemäß Art. 58 Verstoß gegen Art 32 Abs. 1 DSGVO wegen des Versäumnisses, Abs. 2 lit b) DSGVO personenbezogene Daten gegen unberechtigte Zugriffe zu schützen Bundesagentur für Arbeit Verwarnung gemäß Art. 58 Verstoß gegen Art. 12 Abs. 3 DSGVO wegen nicht fristgerecht Abs. 2 lit b) DSGVO erteilter Auskunft Bundesagentur für Arbeit/ Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 6 Abs. 1 lit. a) bzw. Art. Agentur für Arbeit Leipzig Abs. 2 lit. b) DSGVO 5 Abs. 1 lit. a), Art. 6 Abs. 1 lit. b) bis f) DSGVO wegen der Speicherung von Personaldaten auf der Teamablage ohne Rechtsgrund und damit der unrechtmäßigen Verarbeitung von Personaldaten Bundesamt für Beanstandung gemäß § 36 Verstoß gegen § 18 Abs. 1 SÜG wegen unzureichende Doku- Bevölkerungsschutz und Abs. 1 SÜG i.V.m. § 16 Abs. mentation von Bearbeitungs- und Verfahrensschritten und Katastrophenhilfe 2 BDSG Verstoß gegen § 19 Abs. 2 SÜG wegen Missachtung von Ver- nichtungs- und Löschfristen Bundesamt für das Verwarnungen gemäß Art. Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 12 Abs. 3 i.V.m. Art. 15 und Personalmanagement der 58 Abs. 2 lit b) DSGVO Art. 32 Abs. 1 lit. b) DSGVO wegen nicht fristgerechter Beaus- Bundeswehr kunftung und Versand der beantragten Auskunft per einfacher, unverschlüsselter Mail an eine nicht verifizierte Mail-Adresse Bundesamt für Migration Verwarnung gemäß Art. 58 Verstoß gegen Art. 32 Abs. 1 DSGVO wegen nicht ausreichender und Flüchtlinge Abs. 2 lit b DSGVO technisch-organisatorischer Maßnahmen im Zusammenhang mit dem Fehlversand einer E-Mail Bundesamt für Beanstandung gemäß § 16 Verstoß gegen § 2 ATDG wegen nicht durchgeführter Löschung Verfassungsschutz Abs. 2 BDSG Bundesamt für Drei Beanstandungen ge- Drei Verstöße gegen § 11 Abs. 2 ATDG wegen Verlust der Daten- Verfassungsschutz mäß § 16 Abs. 2 BDSG historie und unverhältnismäßiger Erschwernis der Daten- schutzkontrolle Bundesamt für Beanstandung gemäß § 16 Verstoß gegen § 3 Abs. 1 Nr. 1 b) aa) RED-G wegen fehlender Verfassungsschutz Abs. 2 BDSG Rechtsgrundlage für Speicherung erweiterter Grunddaten Bundesamt für Beanstandung gemäß § 16 Verstoß gegen § 12 Abs. 3 RED-G wegen Verlust der Datenhis- Verfassungsschutz Abs. 2 BDSG torie und unverhältnismäßiger Erschwernis der Datenschutz- kontrolle 122 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p122-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 123,
"content": "Stelle Maßnahme/Beanstandung Grund Bundesamt für Wirtschaft Verwarnung gemäß Art. 58 Verstoß gegen Art. 28 Abs. 3 DSGVO wg. Einsatzes eines Auf- und Ausfuhrkontrolle Abs. 2 lit. b) DSGVO tragsverarbeiters ohne entsprechende Vereinbarung Bundesanstalt für Verwarnung gemäß Art. 58 Verstoßes gegen Art. 34 Abs. 1 DSGVO wegen Unterlassung der Immobilienaufgaben Abs. 2 lit. b) DSGVO Benachrichtigung über eine Datenschutzverletzung Bundesanstalt für Post und Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 Abs. 1 DSGVO Telekommunikation Abs. 2 lit. b) DSGVO wegen nicht ordnungsgemäßem Versand von Unterlagen zur Überprüfung einer Dienstunfähigkeit und der damit einher- gegangenen Sichtbarkeit des Betreffs im Sichtfenster des Briefumschlages Bundesanstalt für Post und Verwarnungen gemäß Art. Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 32 Abs. 1 lit. b) sowie Art. Telekommunikation 58 Abs. 2 lit b) DSGVO 12 Abs. 3 i.V.m. Art. 15 DSGVO wegen des Versandes sensibler personenbezogener Daten per unverschlüsselter Mail und verfristete Erteilung des Auskunftsersuchens Bundesanstalt Technisches Verbot gemäß Art. 58 Abs. Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO wegen Verarbeitung Hilfswerk 2 lit. f), Löschung gem. Art. besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 58 Abs. 2 lit. g) i.V.m. Art. 17 DSGVO in Form des Impfstatus in Bezug auf eine Corona-Imp- Abs. 1 lit. d), Verwarnung fung ohne rechtliche Grundlage gem. Art. 58 Abs. 2 lit. b) DSGVO Bundesanstalt Technisches Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 DSGVO wegen der Verarbeitung personen- Hilfswerk Abs. 2 lit. b) DSGVO bezogener Daten von Beschäftigten ohne wirksame Rechts- grundlage durch Vorgesetzte Bundeskriminalamt Beanstandung gemäß § 16 Verstoß gegen Art. 20 Abs. 1 Eurodac-VO wegen u. a. fehlender Abs. 2 S. 1 BDSG vorgeschalteter Abfrage des Visa-Informationssystems (VIS) Bundeskriminalamt Warnung gemäß § 16 Abs. 2 drohender Verstoß gegen § 91 BKAG wegen Änderung einer Satz 4 BDSG Errichtungsanordnung Bundeskriminalamt Beanstandung gemäß § 16 Verstoß gegen Gesetztesvorbehalt wegen Betriebs ein Funkzel- Abs. 2 BDSG lendatenbank und Datenabgleich Bundeskriminalamt Warnung gemäß § 16 Abs. drohender Verstoß gegen beabsichtigte Datenverarbeitung 4 BDSG unterhalb der Schwellen der Vorschriften der §§ 29 ff. BKAG zwischen den Polizeibehörden der Länder mit dem BKA als Auftragsverarbeiter Bundeskriminalamt Anordnung gemäß § 69 Abs. Verstoß gegen §§ 56, 57 BDSG sowie § 483 StPO wegen Ver- 2 BKAG weigerung einer Auskunft und unzulässiger Speicherung einer Person Bundeskriminalamt Beanstandung gemäß § 16 Verstoß gegen das Auskunftsrecht nach § 57 BDSG Abs. 2 BDSG Bundesministerium für Anweisung gemäß Art. 58 Anordnung, alle Rohdaten, Auswertungen inklusive Tabellen Familie, Senioren, Frauen Abs. 2 lit. g) DSGVO und Forschungsergebnisse, d. h. Zwischenberichte, Berichte, und Jugend (BMFSFJ) Endergebnisse der Studie \"Kindeswohl und Umgangsrecht\" nach Art. 18 DSGVO unverzüglich in der Verarbeitung einzu- schränken Bundesministerium für Beanstandung gemäß § 12 Verstoß gegen § 3 Nr. 1 lit g IFG wegen Verweigerung des Infor- Verkehr und digitale Abs. 3 IFG iVm § 25 Abs. 1 Nr. mationszugangs ohne Grund Infrastruktur 1 BDSG (alt) Bundesnachrichtendienst Beanstandung gemäß § 16 Verstoß gegen § 8 ATDG wegen Mängeln in der Synchronisie- Abs. 2 BDSG rung Quelldatei zur ATD Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 123",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p123-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 124,
"content": "Stelle Maßnahme/Beanstandung Grund Bundesnachrichtendienst Beanstandung gemäß § 16 Verstoß gegen § 16 Abs.4 BDSG wegen für BfDI nicht nachvoll- Abs. 2 BDSG ziehbarer Dokumentation Bundesnachrichtendienst Beanstandung gemäß § 16 Verstoß gegen § 10 Abs. 1 ATDG wegen Verifikation der Kont- Abs. 2 BDSG rollzuständigkeit im Zusammenwirken mit der G10-Kommis- sion Bundespolizei Beanstandung gemäß § 16 Verstoß gegen § 16 Abs. 4 BDSG wegen fehlender Bereitstel- Abs. 2 BDSG lung von Informationen Bundespolizei Warnung gemäß § 16 Abs. 2 Keine Nennung wegen Einstufung S. 4 BDSG Bundespolizei Beanstandung gemäß § 16 Keine Nennung wegen Einstufung Abs. 2 BDSG Bundespolizeipräsidium Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 88 DSGVO i. V. m. § Abs. 2 lit. b) DSGVO 106 Abs. 4 BBG wegen der Verwendung eines sorgfaltswid- rig gestalteten Formulars Vordruck BPOL 4 40 004 01 20 zur Erhebung von Personalausweisnummern von Bewerberinnen und Bewerbern durch niedergelassene Zahnärztinnen und Zahnärzte im Auftrag der Bundespolizei Bundeswehrdienstleis- Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) in Verbindung mit Art. 32. Abs. tungszentrum Mayen Abs. 2 lit. b) DSGVO 1 DSGVO wegen fehlender Zugangsbeschränkung zu einem Dienststellenlaufwerk und damit Ermöglichung des Zugang zu den dort gespeicherten personenbezogenen Daten durch einen nicht begrenzten Kreis von Beschäftigten Bundeszentralamt für Verwarnung gemäß Art. 58 Verstoß gegen Art. 12 Abs. 3 DSGVO wegen der nicht fristge- Steuern Abs. 2 lit. b) DSGVO rechten Auskunftserteileung eines Ersuchens nach Art. 15 DSGVO DAK Gesundheit Verwarnung gemäß Art. 58 Verstoß gegen Artikel 5 Abs. 1 lit. d) ; Verstoß gegen Art. 16 und Abs. 2 lit. b) DSGVO 17 DSGVO sowie gegen § 284 Abs. 1 SGB V wegen Speicherung und Verarbeitung falscher Diagnosedaten und der Verweige- rung trotz Antrag der Betroffenen diese zu löschen DAK Gesundheit Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der elektronischen Pa- Abs. 2 lit. d) DSGVO tientenakte (ePA) bis zum 31.12.2021 so auszugestalten, dass Versicherte eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 SGB V in den Zugriff sowohl auf spezifische Doku- mente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der ePA barrierefrei erteilen („feingranulares Zugriffsmanagement“) können. DAK Gesundheit Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der ePA binnen eines Abs. 2 lit. d) DSGVO Jahres so auszugestalten, dass auch Frontend-Nichtnutzer auch ohne die Bestellung eines Vertreters in die sie betref- fenden personenbezogenen Daten (sowohl Dokumente und Datensätze der ePA als auch Protokolldaten) Einblick nehmen können. Deutsche Rentenversiche- Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 DSGVO wegen der Anforderung rung Bund Abs. 2 lit. b) DSGVO einer Personalakte bei einem früheren Arbeitsgeber ohne wirksame Einwilligung oder andere Rechtsgrundlage unter Missachtung der gebotenen Sorgfalt Deutsches Patent- und Beanstandung gemäß § 36 Verstoß gegen § 22 Abs. 2 Nr. 1 SÜG wegen Missachtung von Markenamt Abs. 1 SÜG i.V.m. § 16 Abs. Löschfristen 2 BDSG 124 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p124-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 125,
"content": "Stelle Maßnahme/Beanstandung Grund Deutsches Zentrum für Verwarnung gemäß Art. 58 Verstoß gegen gegen Art. 5 Abs. 1 lit. f) i.V.m. Art. 32. Abs. 1 Luft- und Raumfahrt Abs. 2 lit. b) DSGVO DSGVO wegen der Verletzung der gebotenen Sicherheit und Integrität durch den Versand personenbezogener Daten im dienstlichen Kontext mittels eines Computerfaxes über einen privaten Account Eisenbahnbundesamt Verwarnung gemäß Art. 58 Verstoß gegen gegen Art. 6 Abs. 1 Satz 1 lit. e), 9 Abs. 2 lit. b), g) Abs. 2 lit b) DSGVO DSGVO i.V.m. § 26 Abs. 3 BDSG wegen eines nicht datenschutz- konform gestalteten Meldeweges zu Corona-Infektionen von Beschäftigten Familienkasse Sachsen Verwarnung gemäß Art. 58 Verstoß gegen Art. 12 Abs. 3 DSGVO aufgrund mangelhafter Abs. 2 lit. b) DSGVO Auskunftserteilung Financial Intelligence Unit Beanstandung gemäß § 16 Verstoß gegen gegen § 71 Abs. 1 BDSG wegen Betrieb eines (FIU) Abs. 2 BDSG Systems, das nicht über technische Vorkehrungen verfügt, Löschvorgaben umzusetzen Financial Intelligence Unit Beanstandung gemäß § 16 Verstoß gegen § 71 Abs. 1 BDSG wegen Betrieb eines Systems, (FIU) Abs. 2 BDSG das nicht über manuelle Vorkehrungen zur Umsetzung der Löschvorgaben verfügt Financial Intelligence Unit Beanstandung gemäß § 16 Verstoß gegen §§ 37 Abs. 2, Abs. 4, 39 Abs. 2 Satz 1 Nr. 8 GwG (FIU) Abs. 2 BDSG wegen fehlener Löschung in geprüften Einzelfällen, trotz Vor- liegen der Löschvoraussetzungen Financial Intelligence Unit Beanstandung gemäß § 16 Verstoß gegen die Pflicht zur ordnungsgemäßen Aktenfüh- (FIU) Abs. 2 BDSG rung wegen fehlender Dokumentation der Entscheidungen und Begründungen zur Löschung oder weiteren Speicherung personenbezogener Daten Financial Intelligence Unit Beanstandungen gemäß § Verstoß gegen Art. 5 Abs. 1 lit. c) VIS-Zugangsbeschluss wegen (Zoll) 16 Abs. 2 BDSG Durchführung von VIS-Recherchen, obwohl die sie betreffen- den Personen kein Schengen-Visum benötigten. Financial Intelligence Unit Beanstandungen gemäß § Verstoß gegen Art. 8 Abs. 4 VIS-Zugangsbeschluss wegen der (Zoll) 16 Abs. 2 BDSG Übermittlung von VIS-Daten an Drittstaaten, ohne dass die Voraussetzungen des VIS-Zugangsbeschlusses erfüllt waren. Außerdem wurden nicht alle nationalen Übermittlungsvoraus- setzungen geprüft. Finanzamt Hannover-Land I Verwarnung gemäß Art. 58 Verstoß wegen einer Fehlüberweisung, verspätete Meldungen Abs. 2 lit. b) DSGVO an betroffene Person und BfDI Finanzamt Lübbecke Verwarnung gemäß Art. 58 Verstoß gegen Art. 33 Abs. 1 DSGVO wegener einer verspätete Abs. 2 lit. b) DSGVO Meldung an den BfDI Finanzamt Stralsund Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 Abs. 1 DSGVO Abs. 2 lit. b) DSGVO wegen ungeeignetem Sichtfensterumschlag mit einsehbaren Daten Generaldirektion Wasser- Beanstandung gemäß § 36 Verstoß gegen § 18 Abs. 1 SÜG wegen unzureichende Doku- straßen und Schiffahrt Abs. 1 SÜG i.V.m. § 16 Abs. mentation von Bearbeitungs- und Verfahrensschritten und 2 BDSG Verstoß gegen § 19 Abs. 2 SÜG wegen Missachtung von Ver- nichtungs- und Löschfristen Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 125",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p125-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 126,
"content": "Stelle Maßnahme/Beanstandung Grund Generalzolldirektion Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 DSGVO Abs. 2 lit. b) DSGVO durch die Ermöglichung des Zugriffs durch nicht berechtigten Personen Zugriff auf personenbezogene Daten aus Personal- auswahlverfahren. Zu den offenbarten personenbezogenen Daten zählten auch besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO. Generalzolldirektion Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 5 Abs. 1 lit. a), 6 Abs. 1 Abs. 2 lit. b) DSGVO DSGVO wegen der Adressierung eines Amtshilfeersuchens um Zweifel an der Vollständigkeit des dort Beschäftigten zu den im Rahmen seiner Nebentätigkeit erzielten Einkünfte aufzuklären, ohne dass hierfür eine Zustimmungserklärung im Sinne des § 62 Abs. 2 S.2 BeamtVg vorlag. Hauptzollamt Düsseldorf Verwarnung gemäß Art. 58 Verstoß gegen gegen Art. 88 Abs. 1 DSGVO i. V. m. § 26 Abs. 1 Abs. 2 lit. b) DSGVO S. 1 Bundesdatenschutzgesetz (BDSG) sowie Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit. b) DSGVO wegen der Außerachtlassung der erforderlichen Sorgfalt beim Umgang mit zwei Schreiben an einen Beschäftigten Hauptzollamt Frankfurt am Anweisung gemäß Art. 58 Verstoß gegen Art. 12 Abs. 3 DSGVO wegen nicht fristgerecht Main Abs. 2 lit. c) und Verwar- erteilter Auskunft, Anweisung zur Erteilung einer vollständigen nung gem. Art. 58 Abs. lit. b) Auskunft nach Art. 15 DSGVO, Verwarnung wegen nicht fristge- DSGVO rechter Beauskunftung Hauptzollamt Hamburg Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 Abs. 1 DSGVO we- Abs. 2 lit. b) DSGVO gen der Speicherung personenbezogener Daten zur Steuerung des Impfangebotes durch die Bundeswehr auf einem nicht zugangsbeschränkten Lauf und damit die Ermöglichung des Zugriffs durch Unbefugte und mithin zumindest mittelbar auf besondere Kategorien personenbezogener Daten in Form des Impfstatus Hauptzollamt München Anweisung gemäß Art. 58 Verstoß gegen gegen Art. 5 lit. a), b) und f) DSGVO wegen Abs. 2 lit. d) und Verwarnun- der Offenlegung personenbezogener Daten durch eine am gen gemäß Art. 58 Abs. 2 lit. Auswahlverfahren beteiligte Person und die Offenlegung b) DSGVO gegenüber anderen Hauptzollämtern durch Übermittlung; An- weisung zur Sicherstellung dass im Rahmen der Fachtätigkeit nach SGB II und SGB X dienstlich außerhalb eines Bewer- bungsverfahrens oder einer Tätigkeit für die Personalabteilung bekannt gewordene personenbezogene Daten von Beschäftig- ten oder Bewerberinnen und Bewerbern weder intern durch Mitarbeitende für Zwecke im Rahmen der Begründung eines Beschäftigungsverhältnisses oder nach der Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung im Sinne des § 26 BDSG verarbeitet werden, noch an externe Dritte für Zwecke im Rahmen der Begründung eines Beschäftigungsverhältnisses oder nach der Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung im Sinne des § 26 BDSG übermittelt werden. Hauptzollamt Osnabrück Verwarnung gemäß Art. 58 Verstoß wegen Offenbarung personenbezogener Daten im Abs. 2 lit. b) DSGVO Rahmen einer Vollstreckungsmaßnahme gegenüber unbetei- ligten Dritten 126 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p126-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 127,
"content": "Stelle Maßnahme/Beanstandung Grund HIL Heeresinstandsetzungs- Verwarnungen gemäß Art. Verstöße gegen Art. 5 Abs. 1 lit. a), 9 Abs. 1, 32 Abs.1 DSGVO we- logistik GmbH 58 Abs. 2 lit. b) DSGVO gen der Verarbeitung von Vorerkrankungen von Beschäftigten ohne Rechtsgrundlage, die Verarbeitung von Informationen zu krankheitsbedingten Abwesenheiten, mithin Informationen zum Gesundheitszustand von Beschäftigten durch eine unzu- ständige Stelle innerhalb der HIL GmbH, nicht ausreichender Schutz und Ermöglichung des Zugriffs auf die in Rede stehen- den Daten durch unbefugte Personen IKK Classic Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der elektronischen Pa- Abs. 2 lit. d) DSGVO tientenakte (ePA) bis zum 31.12.2021 so auszugestalten, dass Versicherte eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 SGB V in den Zugriff sowohl auf spezifische Doku- mente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der ePA barrierefrei erteilen („feingranulares Zugriffsmanagement“) können. IKK Classic Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der ePA binnen eines Abs. 2 lit. d) DSGVO Jahres so auszugestalten, dass auch Frontend-Nichtnutzer auch ohne die Bestellung eines Vertreters in die sie betref- fenden personenbezogenen Daten (sowohl Dokumente und Datensätze der ePA als auch Protokolldaten) Einblick nehmen können. Jobcenter im Landkreis Verwarnung gemäß Art. Verstoß gegen Art. 38 Abs. 3 Satz 2 DSGVO wegen rechtswirdri- Diepholz 58 Abs. 2 lit. b) DSGVO und ger Abberufung des behördlichen Datenschutzbeauftragten Anweisungen gem. Art. 58 Abs. 2 lit. d) DSGVO Jobcenter Berchtesgadener Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 lit. e) DSGVO wegen der Offenba- Land Abs. 2 lit. b) DSGVO rung eines Leistungsbezuges durch sorgfaltswidrige Kontakt- aufnahme zu einem Stromversorger Jobcenter Berlin Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 24 Abs. 1 S. 1 und Art. 32 Marzahn-Hellersdorf Abs. 2 lit. b) DSGVO Abs. 1 lit. b) DSGVO wegen der nicht hinreichenden techni- schen und organisatorischen Maßnahmen gegen interne Zugriffe auf personenbezogene Daten der Beschäftigten in elektronischen Ordnern der Geschäftsführung durch Nichtbe- rechtigte Jobcenter Berlin Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 DSGVO we- Marzahn-Hellersdorf Abs. 2 lit. b) DSGVO gen des Zugriffs aller impfwilligen Beschäftigten auf die Termi- ne anderer impfwilliger Beschäftigter und somit zumindest die Möglichkeit der mittelbaren Offenbarung des Impfstatus und damit einer besonderen Kategorie personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO Jobcenter Berlin Spandau Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. d) DSGVO wegen der Übermitt- Abs. 2 lit. b) DSGVO lung falscher Sozialdaten an ein Bezirksamt Jobcenter Berlin Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 lit. e) DSGVO wegen der sorg- Treptow-Köpenick Abs. 2 lit. b) DSGVO faltswidrigen Anforderung von Unterlagen ohne Hinweis auf Schwärzungsmöglichkeiten Jobcenter Bremerhaven Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a), Art. 88 Abs. 1 DSGVO i.V.m. § Abs. 2 lit. b) DSGVO 26 Abs. 1 BDSG wegen der Offenbarung personenbezogener Daten gegenüber dem Personalrat und weiteren nicht beteilig- ten Personen ohne Rechtsgrundlage Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 127",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p127-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 128,
"content": "Stelle Maßnahme/Beanstandung Grund Jobcenter Dessau-Roßlau Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 lit a) und f) sowie Art. 6 Abs. 1 S. 1 lit. c) Abs. 2 lit. b) DSGVO DSGVO wegen der Übermittlung von Daten über ein Mietver- hältnis ohne Rechtsgrund an das Finanzamt Dessau-Roßlau und gegen Art. 5 lit. a) und Art. 6 Abs. 1 S. 1 lit. e) 2. Alt. DSGVO wegen der Bitte um Übermittlung von Steuerdaten ohne Rechtsgrund Jobcenter Deutsche Verwarnung gemäß Art. Verstoß gegen Art. 5 Abs. 1 lit. f) i.V.m. Art. 32 Abs. 1 DSGVO Weinstraße 58 Abs. 2 lit. b) DSGVO und wegen der Ermöglichung des Zugangs zum Laufwerk der Per- Anweisung gem. Art. 58 Abs. sonalabteilung für unbefugte Beschäftigte aufgrund fehlender 2 lit. e) DSGVO Zugangsbeschränkungen und Anweisung zur Benachrichti- gung der von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen aufgrund des hohen Risikos für die persönlichen Recht und Freiheiten gem. Art. 34 DSGVO Jobcenter Düsseldorf Verwarnung gemäß Art. 58 Verstoß gegen § 35 Abs. 1 SGB I wegen unrechtmäßiger und Abs. 2 lit. b) DSGVO sorgfaltswidriger Offenbarung personenbezogener Daten Jobcenter Frankfurt am Verwarnungen gemäß Art. Verstoß gegen Art. 17 Abs. 1 lit. b) DSGO wegen der nicht un- Main 58 Abs. 2 lit b) DSGVO verzüglichen Entsprechung eines Antrags auf Löschung perso- nenbezogener Daten, Verstoß gegen Art. 5 Abs. 1 lit. a) und Art. 6 Abs. 1 lit. a) DSGVO wegen der Verwendung einer E-Mail-Ad- resse zur Kommunikation mit einer betroffenen Personen ohne deren Einwilligung und damit in nicht rechtmäßiger Weise, Verstoß gegen Art. 5 Abs. 1 lit. f) und Art. 32 Abs. 1 lit. a) DSGVO wegen der Verwendung ebendieser Mailadresse zur Kommuni- kation mit der betroffenen Person ohne dabei die erfordliche angemessene Sicherheit der Verarbeitung, z. B. durch die tech- nische Maßnahme der Verschlüsselung zu gewährleisten. Jobcenter im Regionalver- Verwarnungen gemäß Art. Verstoß gegen Art. 5 Abs. 1 lit. a) und c) DSGVO wegen der sorg- band Saarbrücken 58 Abs. 2 lit b) DSGVO faltswidrigen Erhebung personenbezogener Daten Jobcenter Kempten Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) und Art. 6 Abs. 1 DSGVO we- Abs. 2 lit b) DSGVO gen der Übermittlung von personenbezogener Daten an einen Maßnahmeträger ohne Rechtsgrundlage Jobcenter Kreis Anweisung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 lit. e) DSGVO wegen der Anforde- Siegen-Wittgenstein Abs. 2 lit. d) und Verwarnung rung ungeschwärzter Kontoauszüge; Anweisung bei künftigen gemäß Art. 58 Abs. 2 lit. b) Anforderungen von Kontoauszügen auf die Schwärzungsmög- DSGVO lichkeit hinzuweisen Jobcenter Landau-Südliche Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) und Art. 6 Abs. 1 DSGVO Weinstraße Abs. 2 lit b) DSGVO wegen der Aufforderung zur Einreichung ungeschwärzter Kontoauszüge Jobcenter Landkreis Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 lit. e) DSGVO wegen der unrechtmä- Harburg Abs. 2 lit. b) DSGVO ßigen Anforderung und Speicherung eines Mietvertrages Jobcenter München Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 lit. e), 5 Abs. 1 lit. a) und c) DSGVO Abs. 2 lit. b) DSGVO wegen der Übermittlung personenbezogener Daten ohne Ein- willigung und ohne Rechtsgrundlage an die Staatsanwaltschaft Jobcenter München Verwarnung gemäß Art. 58 Verstoß gegen Art. 12 Abs. 3 DSGVO wegen nicht fristgerecht Abs. 2 lit b) DSGVO erteilter Auskunft Jobcenter Stadt Kassel Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) dSGVO wegen der Datenerhe- Abs. 2 lit b) DSGVO bung bei Dritten unter Missachtung des Ersterhebungsgrund- satzes aus § 67a Abs. 2 S. 1 SGB X und die damit verbundene Offenbarung des Leistungsbezugs gegenüber Dritten 128 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p128-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 129,
"content": "Stelle Maßnahme/Beanstandung Grund Kaufmännische Verwarnung gemäß Art. 58 Verstoß gegen Art. 9 Abs. 1 DSGVO i. V. m. § 35 Abs. 1 SGB I, Krankenkasse KKH Abs. 2 lit. b) DSGVO Art. 5 Abs. 1 lit. e) i. V. m. Art. 17 Abs. 1 lit. d) DSGVO sowie Art. 33 Abs. 1 DSGVO da im Zeitraum vom 04.06.2020 bis 09.09.2020 entgegen der gebotenen Sorgfalt Gesundheitsdaten ohne Rechtsgrundlage verarbeitet und deren unverzügliche Löschung sowie die Meldung der Datenschutzverletzung unter- lassen wurden. Kommando Cyber- und Verwarnung gemäß Art. 58 Verstoß gegen gegen Art. 5 Abs. 1 lit. f) i.V.m. Art. 32. Abs. Informationsraum der Abs. 2 lit. b) DSGVO 1 DSGVO wegen fehlender Zugangsbeschränkung zu einer Bundeswehr Share-Point-Arbeitsumgebung und damit Ermöglichung des Zugriff zu den dort gespeicherten Daten durch einen nicht begrenzten Kreis von unbefugten Beschäftigten Panzergrenadierbataillon Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) i.v.m. Art. 32 Abs. 1 DSGVO we- 212 Abs. 2 lit. b) DSGVO gen der Ermöglichung des Zugang durch fehlende Zugangsbe- schränkung zu einem Laufwerk durch einen nicht begrenzten Kreis von Beschäftigten Physikalisch-Technische Verwarnung gemäß Art. 58 Verstoß gegen Art. 12 Abs. 3 S. 1 DSGVO wegen der Beschei- Bundesanstalt Abs. 2 lit. b) DSGVO dung eines Auskunftsersuchens erst auf mein Tätigwerden hin pronova BKK Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 DSGVO i.V.m. § 305 Absatz 1SGB V und § 35 Abs. 2 lit. b) DSGVO Abs. 1 SGB I wegen rechtswidriger Offanbarung von Diagnose- daten an einen unbeteiligten Dritten sowie gegen Art. 33 Abs. 1 DSGVO wegen fristüberschreitender Meldung des Datenschutz- verstoßes trotz vorheriger Kenntnis Siemens-Betriebskranken- Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der elektronischen Pa- kasse Abs. 2 lit. d) DSGVO tientenakte (ePA) bis zum 31.12.2021 so auszugestalten, dass Versicherte eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 SGB V in den Zugriff sowohl auf spezifische Doku- mente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der ePA barrierefrei erteilen („feingranulares Zugriffsmanagement“) können. Siemens-Betriebskranken- Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der ePA binnen eines kasse Abs. 2 lit. d) DSGVO Jahres so auszugestalten, dass auch Frontend-Nichtnutzer auch ohne die Bestellung eines Vertreters in die sie betref- fenden personenbezogenen Daten (sowohl Dokumente und Datensätze der ePA als auch Protokolldaten) Einblick nehmen können. Stiftung Erinnerung, Verwarnung gemäß Art. 58 Verstoß gegen gegen Art. 5 Abs. 1 lit. f) i.V.m. Art. 32. Abs. 1 DS- Verantwortung und Abs. 2 lit. b) DSGVO GVO wegen fehlender Zugangsbeschränkung auf das Laufwerk Zukunft des Justiziariates un damit Ermöglichung des Zugriffs zu den dort gespeicherten personenbezogenen Daten durch Unbebe- fugte Techniker Krankenkasse Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der elektronischen Pa- Abs. 2 lit. d) DSGVO tientenakte (ePA) bis zum 31.12.2021 so auszugestalten, dass Versicherte eine Einwilligung gegenüber Zugriffsberechtigten nach § 352 SGB V in den Zugriff sowohl auf spezifische Doku- mente und Datensätze als auch auf Gruppen von Dokumenten und Datensätzen der ePA barrierefrei erteilen („feingranulares Zugriffsmanagement“) können. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 129",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p129-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 130,
"content": "Stelle Maßnahme/Beanstandung Grund Techniker Krankenkasse Anweisung gemäß Art. 58 Anweisung, das Zugriffsmanagement der ePA binnen eines Abs. 2 lit. d) DSGVO Jahres so auszugestalten, dass auch Frontend-Nichtnutzer auch ohne die Bestellung eines Vertreters in die sie betref- fenden personenbezogenen Daten (sowohl Dokumente und Datensätze der ePA als auch Protokolldaten) Einblick nehmen können. Techniker Krankenkasse Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) i.V.m. Art. 6 Abs. 1 DSGVO we- Abs. 2 lit. b) DSGVO gen der Übersendung einer vollständigen und ungeschwärzten Versorgungsbezügemitteilung an das Amtsgericht Schleswig und der unrechtmäßigen Offenbarung nicht geforderter und nicht erforderlicher Daten Verpflegungsamt der Verwarnungen gemäß Art. Verstoß gegen Art. 5 Abs. 1 lit. c) und f) i.V.m. Art. 32 Abs. 1 Bundeswehr 58 Abs. 2 lit. b) DSGVO DSGVO wegen der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO ohne entsprechende Rechtsgrundlage und entge- gegen der gebotenen Sorgfalt durch vorgesetzte Personen und unzuständige Stellen innerhalb des Verpflegungsamtes der Bundeswehr und gegen Art. 5 Abs. 1 lit. f) DSGVO wegen der Öffnung und unterlassenen Weiterleitung verschlossener Umschläge mit ärztlichen Unterlagen Zentrale Stelle für Beanstandung gemäß § 36 Verstoß gegen § 21 Abs. 1 Satz 4 SÜG wegen Übermittlung un- Informationstechnik im Abs. 1 SÜG i.V.m. § 16 Abs. ter Missachtung der Zweckbindung und Verstoß gegen § 6 Abs. Sicherheitsbereich 2 BDSG 1 SÜG wegen Verstoß gegen Verfahrensrechte Zentrum für Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) – c), Art. 6 DSGVO und § 26 Geoinformationswesen Abs. 2 lit. b) DSGVO BDSG wegen der Erhebung und Verarbeitung personenbe- der Bundeswehr zogener Daten von Beschäftigten in Form von monatlichen Tätigkeitsberichten ohne Rechtsgrundlage Nicht alle der oben aufgelisteten Maßnahmen und Beanstandungen sind bisher rechtskräftig. 130 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p130-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 131,
"content": "Übersicht über Maßnahmen/Beanstandungen gegenüber nicht-öffentlichen Stellen Stelle Maßnahme/Beanstandung Grund Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO sowie Art. 32 Abs. 1 lit. unternehmen Abs. 2 lit. b) DSGVO b) DSGVO wegen unberechtigter Offenlegung personenbezo- gener Daten Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO sowie Art. 32 Abs. 1 lit. unternehmen Abs. 2 lit. b) DSGVO b) DSGVO wegen unberechtigter Offenlegung personenbezo- gener Daten Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO sowie Art. 32 Abs. 1 lit. unternehmen Abs. 2 lit. b) DSGVO b) DSGVO wegen unberechtigter Offenlegung personenbezo- gener Daten Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO und Art. 5 Abs. 1 lit. c) unternehmen Abs. 2 lit. b) DSGVO i. V. m. Art. 6 Abs. 1 DSGVO wegen unrechtmäßiger und nicht dem Zweck angemessener Verarbeitung personenbezogener Daten Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 15 i. V. m. Art 12 Abs. 3 und 4 DSGVO wegen unternehmen Abs. 2 lit. b) DSGVO Nichttätigsein des Verantwortlichen trotz zweimaliger kosten- loser Erinnerung und Anrufung der Aufsichtsbehörde Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO sowie Art. 32 Abs. 1 lit. unternehmen Abs. 2 lit. b) DSGVO b) DSGVO wegen unberechtigter Offenlegung personenbezo- gener Daten Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 15 i. V. m. Art. 12 Abs. 3 DSGVO wegen Fri- unternehmen Abs. 2 lit. b) DSGVO stüberschreitung der Auskunftserteilung Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 S. 1 DSGVO sowie § 39 Abs. 3 PostG unternehmen Abs. 2 lit. b) DSGVO wegen wiederholter Falschzustellungen Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 15 i. V. m. Art. 12 Abs. 3 DSGVO wegen Fri- unternehmen Abs. 2 lit. b) DSGVO stüberschreitung der Auskunftserteilung Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 S. 1 und Art. 32 Abs. 1 lit. b) DSGVO unternehmen Abs. 2 lit. b) DSGVO sowie § 39 Abs. 3 S. 1 PostG wegen fehlerhafter Kuvertierung von Sendungen Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 33 Abs. 1 DSGVO wegen verspäter Meldung unternehmen Abs. 2 lit. b) DSGVO einer Datenschutzverletzung Ein Postdienstleistungs Warnung gemäß Art. 58 Abs. drohender Verstoß gegen Art. 6 Abs. 1 S. 1 DSGVO, § 41a Abs. unternehmen 2 lit. a) DSGVO 3 Satz 1 sowie§ 39 Abs. 3 S. 1 PostG wegen voraussichtlicher unrechtmäßiger Verarbeitung von Empfängerdaten Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 S. 1 DSGVO wegen des Erstellens unternehmen Abs. 2 lit. b) DSGVO von Fotos von Ersatz-Empfängern oder deren Personalauswei- sen Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 6 Abs. 1 S. 1 DSGVO wegen unzulässiger unternehmen Abs. 2 lit. b) DSGVO Übermittlung einer Mobilfunknummer an einen Dritten Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 15 i. V. m. Art. 12 Abs. 3 DSGVO wegen Fri- unternehmen Abs. 2 lit. b) DSGVO stüberschreitung der Auskunftserteilung Ein Postdienstleistungs Verwarnung gemäß Art. 58 Verstoß gegen Art. 33 Abs. 1 DSGVO wegen Versäumnis einer unternehmen Abs. 2 lit. b) DSGVO Meldung über eine Datenschutzverletzung Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 131",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p131-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 132,
"content": "Stelle Maßnahme/Beanstandung Grund Telekommunikations- Verwarnung gemäß Art. 58 Verstoß gegen Art. 12 Abs. 1 DSGVO wegen Nichtzulassens dienstleistungsunterneh- Abs. 2 lit. b) DSGVO mündlicher oder telefonischer Anträge zu Betroffenenrechten men Telekommunikations- Verwarnung gemäß Art. 58 Verstoß gegen Art. 9 Abs. 2 i.V.m. Art. 5 Abs. 1 lit. a) und c) dienstleistungsunterneh- Abs. 2 lit. b) DSGVO DSGVO wegen des Versandes einer vollständigen, unbereinig- men ten Kopie eines umfangreichen medizinischen Gutachtens an Betriebsratmitglieder und die Schwerbehindertenvertretung, nach teilweise erfolgter Löschung des Originals Telekommunikations- Beanstandung gemäß § 115 Verstoß gegen § 109 Abs. 1 S. 1 Nr. 2 TKG wegen mangelhafter dienstleistungsunterneh- Abs. 4 S. 2 TKG i.V.m. § 25 TOM's einem Ad-hoc-Telefonkonferenzsystem men Abs. 1 BDSG a.F. Telekommunikations- Verwarnung gemäß Art. 58 Verstoß gegen Art. 7 DSGVO wegen Nichteinhaltens der dienstleistungsunterneh- Abs. 2 lit. b) DSGVO und An- Vorgaben der DSGVO zum Erfordernis eines Opt-In-Verfahrens men weisung gemäß Art. 58 Abs. hinsichtlich einer Einwilligung zur Aufzeichnung von Telefon- 2 lit. d) DSGVO gesprächen zur Qualitätskontrolle; es wurde eine Opt-Out-Lö- sung verwendet Telekommunikations- Verwarnung gemäß Art. 58 Verstoß gegen Art. 15 DSGVO wegen nicht beantwortetem dienstleistungsunterneh- Abs. 2 lit. b) DSGVO und An- Auskunftsersuchen men weisung gemäß Art. 58 Abs. 2 lit. c) DSGVO Telekommunikations- Anweisung gemäß Art. 58 Verstoß gegen Art. 34 DSGVO wegen nicht vorgenommener dienstleistungsunterneh- Abs. 2 lit. e) DSGVO Mitteilung einer Datenschutzverletzung an die betroffenen men Personen Telekommunikations- Beanstandung gemäß § 115 Verstoß gegen § 95 Abs. 2 Satz 2 TKG wegen Werbung trotz dienstleistungsunterneh- Abs. 4 S. 2 TKG i.V.m. § 95 Werbewiderspruch men Abs. 2 S. 2 TKG Telekommunikations- Verwarnung gemäß Art. 58 Verstoß gegen Art. 33 DSGVO wegen verspäteter Meldung einer dienstleistungsunterneh- Abs. 2 lit. b) DSGVO Datenschutzverletzung men Telekommunikations- Verwarnung gemäß Art. 58 Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO wegen Abbuchungen dienstleistungsunterneh- Abs. 2 lit. b) DSGVO ohne Vertragsschluss men Telekommunikations- Anweisung gemäß Art. 58 Heranziehung von Informationen zu Kundendaten dienstleistungsunterneh- Abs. 1 lit. a) DSGVO men Ein Unternehmen Beanstandung gemäß § 36 Verstoß gegen § 30 i.V.m. § 18 Abs. 1 SÜG wegen unzurei- Abs. 1 SÜG i.V.m. § 16 Abs. chender Dokumentation von Bearbeitungs- und Verfahrens- 2 BDSG schritten; Verstoß gegen § 36 Abs. 1 Nr. 2 SÜG i.V.m. § 51 Abs. 1 BDSG wegen fehlende Dokumentation der Einwilligung in die Datenübermittlung an Dritte; Verstoß gegen §§ 30 i.V.m. 19 Abs. 2 und §§ 30 i.V.m. 22 Abs. 2 Nr.1 SÜG wegen Verstoß gegen Vernichtungs- und Löschfristen; Verstoß gegen § 2 Abs. 2 S. 3 und 4 SÜG wegen fehlende Dokumentation der Zustimmung der mitbetroffenen Person Nicht alle der oben aufgelisteten Maßnahmen und Beanstandungen sind bisher rechtskräftig. 132 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p132-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 133,
"content": "Abkürzungsverzeichnis BMEL \t\u0007Bundesministerium für Ernährung und Landwirtschaft BMF Bundesministerium für Finanzen AA Auswärtiges Amt BMFSFJ \t\u0007Bundesministerium für Familie, Senio- Abs. Absatz ren, Frauen und Jugend a. F. alte Fassung BMG \t\u0007Bundesmeldegesetz (auch wenn es AFIS \t\u0007Automatisiertes Fingerabdruck identisch zum Bundesministerium für identifizierungssystem Gesundheit ist) AG Aktiengesellschaft BMG Bundesministerium für Gesundheit AK Arbeitskreis BMI \t\u0007Bundesministerium des Innern, für AkkStelleG Gesetz über die Akkreditierungsstelle Bau und Heimat AlVi alternativen Versichertenidentität BMJV \t\u0007Bundesministerium der Justiz und für AO Abgabenordnung Verbraucherschutz API-Daten \t\u0007Advanced Passenger Information BMU \t\u0007Bundesministerium für Umwelt, Natur- (Vorab-Passagier-Information) schutz und nukleare Sicherheit API-RL \u0007RICHTLINIE 2004/82/EG DES RATES BMVg \t\u0007Bundesministeriums der Verteidigung vom 29. April 2004 über die Verpflich- BMVI \t\u0007Bundesministerium für Verkehr und tung von Beförderungsunternehmen, digitale Infrastruktur Angaben über die beförderten Perso- BMWi \t\u0007Bundesministeriums für Wirtschaft und nen zu übermitteln Energie App(s) Applikation(en) BMZ \t\u0007Bundesministerium für wirtschaftliche Art. Artikel Zusammenarbeit und Entwicklung AsylG Asylgesetz BND Bundesnachrichtendienst ATD Anti-Terror-Datei BNDG \t\u0007Gesetz über den Bundesnachrichten- ATDG Antiterrordateigesetz dienst Az. Aktenzeichen BND-Gesetz \t\u0007Gesetz über den Bundesnachrichten- AZR Ausländerzentralregister dienst AZRG Ausländerzentralregistergesetz BNetzA Bundesnetzagentur BAMAD\t\u0007Bundesamt für den Militärischen bpb Bundeszentrale für politische Bildung Abschirmdienst BPol Bundespolizei BAMF \t\u0007Bundesamt für Migration und BPolG Gesetz über die Bundespolizei Flüchtlinge BPrA Bundespresseamt BCR Binding Corporate Rules BRH Bundesrechnungshof BDSG Bundesdatenschutzgesetz BSI \t\u0007Bundesamt für Sicherheit in der BfArM \t\u0007Bundesinstitut für Arzneimittel und Informationstechnik Medizinprodukte BT Deutscher Bundestag BfDI \t\u0007Der Bundesbeauftragte für den Daten- BTLE ESG \t\u0007Expert Subgroup Borders, Travel and schutz und die Informationsfreiheit Law Enforcement BVerfG Bundesverfassungsgericht BfR Bundesinstitut für Risikobewertung BVerfSchG Bundesverfassungsschutzgesetz BfV Bundesamt für Verfassungsschutz BVerwG Bundesverwaltungsgericht BImA \u0007Bundesanstalt für Immobilienaufgaben BvR \t\u0007Aktenzeichen einer Verfassungs BKA Bundeskriminalamt beschwerde beim Bundesverfassungs- BKAG \t\u0007Gesetz über das Bundeskriminalamt gericht und die Zusammenarbeit des Bundes bzw. beziehungsweise und der Länder in kriminalpolizeili- chen Angelegenheiten CCF Competence Center Fachlichkeit BKAmt Bundeskanzleramt CCOD Kompetenzzentrum Open Data BKartA Bundeskartellamt CISPE \t\u0007Cloud Infrastructure Services Providers BKM \t\u0007Die Beauftragte der Bundesregierung in Europe, Anbieter von Cloud-Infra- für Kultur und Medien struktur-Services in Europa BMAS \t\u0007Bundesministerium für Arbeits und CoC Codes of Conduct Soziales CSC \t\u0007Coordinated Supervision Committee BMBF \t\u0007Bundesministerium für Bildung und (Ausschuss für koordinierte Aufsicht) Forschung CWA Corona Warn App Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 133",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p133-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 134,
"content": "DA Data Act FlugDaG \t\u0007Gesetz über die Verarbeitung von Flug- gastdaten DaTraV Datentransparenzverordnung DB AG Deutsche Bahn AG GAEN Google/Apple Exposure Notifications DGA Data Governance Act gem. gemäß d. h. das heißt GETZ \t\u0007Gemeinsames Extremismus- und Terro- DiGA Digitale Gesundheitsanwendungen rismusabwehrzentrum DiGAV \t\u0007Digitale Gesundheitsanwendungen GG Grundgesetz Verordnung ggf. gegebenenfalls DigFamG \t\u0007Gesetz zur Digitalisierung von Verwal- GGO \t\u0007Gemeinsame Geschäftsordnung der tungsverfahren bei der Gewährung von Bundesministerien Familienleistungen GKV Gesetzliche Krankenversicherung DIMDI \t\u0007Deutsches Institut für Medizinische GKV-SP \t\u0007Spitzenverband Bund der Kranken Dokumentation und Information kassen DMA Digital Markets Act GmbH Gesellschaft mit beschränkter Haftung DMS Dokumentenmanagementsystem GPA Global Privacy Assembly DSA Digital Services Act GVWG \t\u0007Gesundheitsversorgungsweiter DSGVO Datenschutz-Grundverordnung entwicklungsgesetz DSK \t\u0007Konferenz der unabhängigen Daten- GWB \t\u0007Gesetz gegen Wettbewerbs schutzaufsichtsbehörden des Bundes beschränkungen und der Länder GWG Geldwäschegesetz DVPMG \t\u0007Digitale-Versorgung-und-Pflege- Modernisierungs-Gesetz HmbBfDI \t\u0007Hamburgischer Beauftragter für Daten- schutz und Informationsfreiheit eAMS \t\u0007einheitliches Asservatenmanagement- HZI \t\u0007Helmholtz-Zentrum für Infektions system forschung EAS elektronische Akte in Strafsachen ED-Daten Erkennungsdienstliche Daten ITS ESG \t\u0007Expert Subgroup International Trans- EDPS \u0007European Data Protection Supervisor fers (Europäischer Datenschutzbeauftragter) IWGDPT \t\u0007International Working Group Data Pro- EDSA Europäischer Datenausschuss tection in Technology“ EDSB Europäische Datenschutzbeauftragte ICIC \t\u0007International Conference of Informati- EG Europäische Gemeinschaft on Commissioners eGK elektronische Gesundheitskarte IFG Informationsfreiheitsgesetz EGovG E-Government-Gesetzes IfSG Infektionsschutzgesetz eID elektronische Identität INPOL \t\u0007Das elektronische Informationssystem eIDAS \t\u0007Elektronische Identifizierung und der Polizei Vertrauensdienste für elektronische INPOL-Z \t\u0007Das bundesweite zentrale polizeiliche Transaktionen Informationssystem eIDKG eID-Karte-Gesetz INZOLL \t\u0007Informationssystem des Zollfahndungs- ePA Elektronische Patientenakte dienstes ePKA Elektronische Patientenkurzakte IP Internet Protocol ERP Enterprise-Resource-Planning IRegG Implantateregistergesetz EU Europäische Union i. S. d. im Sinne des EuGH Europäischer Gerichtshof IT Informationstechnik Eurodac European Dactyloscopy ITZ Bund Informationstechnikzentrum Bund EUStA Europäische Staatsanwaltschaft i. v. m. in Verbindung mit EWR Europäischer Wirtschaftsraum JI-Richtlinie \t\u0007Richtlinie zum Datenschutz bei Polizei ExCo Executive Committee und Justiz FBS Fallbearbeitungssysteme KI Künstliche Intelligenz FDZ Forschungsdatenzentrum KVNR Krankenversichertennummer ff. fortfolgende FIU \t\u0007Zentralstelle für Finanztransaktions- LfD Landesbeauftragter für den Datenschutz untersuchungen, Abk. für Financial LfDI \u0007Landesbeauftragte/r für den Datenschutz Intelligence Unit und die Informationsfreiheit 134 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p134-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 135,
"content": "lit. Litera sog. so genannte SORMAS \t\u0007Surveillance Outbreak Response MAD-Gesetz \t\u0007Gesetz über den Militärischen Management und Analysis System Abschirmdienst MIO Medizinischen Informationsobjekten StPO Strafprozessordnung Mio. Millionen StrlSchV Strahlenschutzverordnung StUG Stasi-Unterlagen-Gesetz NADIS \t\u0007Nachrichtendienstliches Informations- SÜG Sicherheitsüberprüfungsgesetz system NIPT nicht invasiver pränataler Bluttest TB Tätigkeitsbericht Nr. Nummer TI Telematikinfrastruktur NRW Nordrhein-Westfalen TIM TI-Messenger OECD \t\u0007Organisation für wirtschaftliche TK Telekommunikation Zusammenarbeit und Entwicklung TKG Telekommunikationsgesetz OGP Open Government Partnership TKMoG \t\u0007Telekommunikationsmodernisierungs- oOKF Open Knowledge Foundation gesetz OLG Oberlandesgericht TTDSG \t\u0007Telekommunikations-Telemedien- OVG Oberverwaltungsgericht Datenschutz-Gesetz OWiG Ordnungswidrigkeitengesetz u. a. unter anderem OZG Onlinezugangsgesetz UIG Umweltinformationsgesetz PAuswG Personalausweisgesetz UrhG Urheberrechtsgesetz PBE Personalbedarfsermittlung USA United States of America PDSG Patientendaten-Schutz-Gesetz VBS Vorgangsbearbeitungssystem PEPP-PT \t\u0007Pan-European Privacy-Preserving VG Verwaltungsgericht Proximity Tracing vgl. vergleiche PIMS \t\u0007Personal Information Management VIS Visa-Informationssystem Systems VISZG \t\u0007VIS-Zugangsgesetz (Gesetz über PKGr Parlamentarisches Kontrollgremium den Zugang von Polizei- und PKV Private Krankenversicherung Strafverfolgungsbehörden sowie PNR-Daten Fluggastdatensätze Nachrichtendiensten zum Visa- PNR-RL \t\u0007Richtlinie (EU) 2016/681 über die Verwendung von Fluggastdatensätzen Informationssystem) PoC Proof of Concept vs. versus PTB \t\u0007Physikalisch-Technische Bundesanstalt z. B. zum Beispiel PüP periodenübergreifenden Pseudonyms ZASt Zentrale Anlaufstelle PVSplus Personalverwaltungssystem ZFdG \t\u0007Gesetz über das Zollkriminalamt und Quellen-TKÜ Telekommunikationsüberwachung die Zollfahndungsämter ZfKD Zentrum für Krebsregisterdaten RED Rechtsextremismus-Datei ZKA Zollkriminalamt RKI Robert Koch-Institut RL Richtlinie 56ID \t\u0007Identifikation der federführenden Aufsichtsbehörde S. Seite s. siehe 60FD \t\u0007endgültiger Beschluss der feder SGB Sozialgesetzbuch führenden Aufsichtsbehörde SIS Schengener Informationssystem (Final Decision) SIS II \t\u0007Schengener Informationssystem der 2. Generation SMS Short Message Service Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 135",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p135-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 136,
"content": "Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Graurheindorfer Str. 153 53117 Bonn Tel. +49 (0) 228 997799-0 E-Mail: poststelle@bfdi.bund.de Internet: www.bfdi.bund.de Bonn 2022 Dieser Bericht ist als Bundestagsdrucksache erschienen. Bildnachweis: Erzaehlmirnix Druck: Druckerei Franz Paffenholz GmbH Königstraße 82 53332 Bornheim",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p136-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 137,
"content": "",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p137-{size}.png"
},
{
"document": "https://fragdenstaat.de/api/v1/document/150146/?format=api",
"number": 138,
"content": "www.bfdi.bund.de",
"width": 2481,
"height": 3508,
"image": "https://media.frag-den-staat.de/files/docs/18/45/52/1845527ab3fe49e692c9eacb9107b781/page-p138-{size}.png"
}
]
}
