30. Tätigkeitsbericht zum Datenschutz und zur Informationsfreiheit

Tätigkeitsbericht 2021 30. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 30

Dieser Bericht wurde der Präsidentin des Deutschen Bundestags, Frau Bärbel Bas, überreicht. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber

Unterrichtung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Tätigkeitsbericht für das Jahr 2021 – 30. Tätigkeitsbericht – Inhaltsverzeichnis Einleitung............................................................................................................................................................ 8 2 Empfehlungen ............................................................................................................................................. 10 2.1 Zusammenfassung der Empfehlungen des 30. Tätigkeitsberichts................................................................ 10 2.2 Empfehlungen des 29. Tätigkeitsberichts................................................................................................... 11 3 Gremien....................................................................................................................................................... 12 3.1 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).............. 12 3.1.1 Arbeitskreis DSK 2.0................................................................................................................... 12 3.1.2 Positivdaten Auskunfteien.......................................................................................................... 12 3.1.3 Arbeitskreis Microsoft ............................................................................................................... 14 3.1.4 Wichtige Beschlüsse und Entschließungen.................................................................................. 15 3.1.4.1 Coronavirus: Es ist notwendig, Nachweise über Impfungen, Testergebnisse und Genesungen gesetzlich zu regeln............................................................................. 15 3.1.4.2 Verarbeitung des Datums „Impfstatus“ von Beschäftigten durch die Arbeitgeberin oder den Arbeitgeber............................................................................... 15 3.1.4.3 Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail....... 15 3.2 Europäischer Datenschutzausschuss..................................................................................................... 16 3.2.1 Allgemeiner Bericht................................................................................................................... 16 3.2.2 Drittlandübermittlungen / Schrems II-Entscheidung.................................................................... 19 3.2.2.1 Taskforce Supplementary Measures / Umsetzung Schrems II........................................... 19 3.2.2.2 Schwerpunkt Drittlandübermittlung.............................................................................. 20 3.2.3 Abschluss Kohärenzverfahren CoC EU Cloud und CISPE.............................................................. 23 3.2.4 Leitlinien Verantwortlichkeit und neue Standardvertragsklauseln................................................. 23 3.2.5 Leitlinien Recht auf Auskunft Art. 15 DSGVO............................................................................... 24 3.2.5.1 Auskunftsanspruch bei den Sozialleistungsträgern.......................................................... 24 3.2.5.2 Auskunftserteilung nach Art. 15 durch Krankenkassen.................................................... 24 3.2.6 Leitlinien für Streitbeilegungsverfahren vor dem EDSA................................................................ 25 3.3 Global Privacy Assembly....................................................................................................................... 25 3.3.1 Allgemeiner Bericht................................................................................................................... 25 3.3.2 Reference Panel......................................................................................................................... 26 3.4 Weitere internationale Gremien............................................................................................................ 27 3.4.1 G7............................................................................................................................................. 27 3.4.2 Berlin Group.............................................................................................................................. 28 3.4.3 Datenschutzgrundsätze für den staatlichen Zugriff auf personenbezogene Daten im internationalen Bereich ........................................................................................................ 28 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 3

4    Schwerpunktthemen ................................................................................................................................... 30 . 4.1 Corona................................................................................................................................................ 30 . 4.1.1 Corona-Warn-App ..................................................................................................................... 30 . 4.1.2 SORMAS ................................................................................................................................... 32 . 4.1.3 Digitales COVID-Zertifikat der EU .............................................................................................. 33                . 4.1.4 Coronamelde-Verordnung ......................................................................................................... 34 . 4.1.5 Die Bundesnotbremse und die Ausnahmeverordnung ................................................................ 34                                                                                        . 4.1.6 Coronavirus-Testverordnung ..................................................................................................... 35 . 4.1.7 Das „EpiLage-Fortgeltungsgesetz“ .............................................................................................. 36                     . 4.1.8 Zweites IfSG-Änderungsgesetz: digitale Nacherfassung der Impfungen und 3G am Arbeitsplatz..... 37                                                                                                                                         . 4.1.9 Digitales Impfquotenmonitoring ................................................................................................ 38             . 4.2 Künstliche Intelligenz – Regulierung als gesamtgesellschaftliche Aufgabe .............................................. 39                                                                                                       . 4.2.1 KI-Regulierungsentwurf ............................................................................................................ 41 . 4.2.2 KI-Konsultationsverfahren ........................................................................................................ 41 . 4.3 Interdisziplinärer Beirat Beschäftigtendatenschutz ............................................................................... 42                                                                                                                    . 5    Gesetzgebung .............................................................................................................................................. 43 . 5.1 Telekommunikationsgesetzgebung TKG/TTDSG .................................................................................... 43                                                                            . 5.2 Lobbyregistergesetz ............................................................................................................................. 45 . 5.3 Open-Data-Gesetz ................................................................................................................................ 45 . 5.3.1 Open-Data-Strategie der Bundesregierung .................................................................................. 46                                                         . 5.4 Änderungen am Ausländerzentralregistergesetz ................................................................................... 47                                                                                    . 5.5 Bundespolizeigesetz ............................................................................................................................ 47 . 5.6 Änderungen am BND-Gesetz treten in Kraft ......................................................................................... 48                                    . 5.7 Evaluierung des BDSG.......................................................................................................................... 48 5.8 IT-Sicherheitsgesetz ............................................................................................................................ 50 . 5.9 EU Digitalgesetzgebung ....................................................................................................................... 50 . 5.10 Entwicklungen bei Gesundheitsregistern .............................................................................................. 52                                                                                                                    . 5.11 Datenerhebungsbefugnisse der Krankenkassen im Krankengeldfallmanagement ................................... 54                                                                                                                      . 6    Einzelthemen .............................................................................................................................................. 55 . 6.1 Elektronische Patientenakte................................................................................................................. 55 . 6.2 Datenstrategie der Bundesregierung..................................................................................................... 56                                                                                                . 6.3 Kooperation zwischen Kartell- und Datenschutzaufsichtsbehörden ........................................................ 57                                                                                                                                                . 6.4 Neustart des Forschungsdatenzentrums beim Bundesinstitut für Arzneimittel und Medizinprodukte ....... 59                                                                                                                                     . 6.5 Nutzung der Krankenversichertennummer in der Telematikinfrastruktur .............................................. 60                                                                                                                                                               . 6.6 Modellvorhaben Genomsequenzierung ................................................................................................ 61                                                                                                                . 6.7 Pränataltests in Hongkong ................................................................................................................... 62 . 6.8 Umsetzung des Diagnose-Korrektur-Anspruch § 305 SGB V .................................................................... 63                                                                                                                    . 6.9 Erstattungsfähige Digitale Gesundheitsanwendungen............................................................................ 63  6.10 Digitalisierung der öffentlichen Verwaltung .......................................................................................... 64                                                                                                                        . 6.11 Brexit – Datentransfer mit dem Vereinigten Königreich ......................................................................... 64                                                                      . 6.12 Outing von Asylbewerbern ................................................................................................................... 65 . 6.13 Handydatenauswertung durch Bundesamt für Migration und Flüchtlinge rechtswidrig? .......................... 66                                                                                                                          . 6.14 P 20 – Polizei 20/20: Der Weg zu einem gemeinsamen Datenhaus ........................................................... 66                                                                                         . 6.15 GETZ: Unzureichende Evaluation ......................................................................................................... 68                                                        . 6.16 Datenverarbeitung beim BND............................................................................................................... 68 . 6.17 Überführung der Stasi-Akten ins Bundesarchiv ..................................................................................... 69                                           . 6.18 Anwendungen auf der elektronischen Gsundheitskarte ......................................................................... 69                                                                                                                                . 6.19 Digitale Identitäten .............................................................................................................................. 70 . 6.20 Das Sicherheitsüberprüfungsgesetz – Ein Gesetz mit vielen Fragezeichen ............................................... 72                                                                                                   . 4   Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

6.21     Pilotprojekt zur „intelligenten“ Videoüberwachung am Bahnhof Berlin Südkreuz, 2. Teil ......................... 74                                                                          . 6.22     Eurojust, Europäische Staatsanwaltschaft: Neue Zuständigkeiten ........................................................... 74                                      . 6.23     Zusammenarbeit mit anderen Kontrollorganen im Bereich der Nachrichtendienste des Bundes .............. 75                                                                                                   . 6.24     Passenger Name Records (PNR) – Zentrale Fragen sind weiterhin ungeklärt ........................................... 76                                                                 . 6.25     Agile Projektentwicklung ..................................................................................................................... 76 . 6.26     Personalverwaltungssystem PVSplus: Noch nicht gelöste datenschutzrechtliche Herausforderungen ....... 77                                                                                                        . 7     Informationsfreiheit .................................................................................................................................... 78 . 7.1 Gremien ............................................................................................................................................. 78 . 7.1.1 Konferenz der Informationsfreiheitsbeauftragten in Deutschland ................................................ 78                                                                . 7.1.2 Internationale Konferenz der Informationsfreiheitsbeauftragten ................................................. 78                                                       . 7.2 „Glyphosat“-Urteil – Zur Veröffentlichung einer behördlich erstellten Stellungnahme  nach Informationszugang .................................................................................................................... 79 . 7.3 Open Government Partnership............................................................................................................. 80 . 7.4 Formatwahlrecht: Ja oder Nein? ........................................................................................................... 80 . 7.5 Transparenz im Gesetzgebungsverfahren ............................................................................................. 81                                                                . 7.6 Beanstandung des BMVI wegen der Verweigerung des Informationszugangs ohne Grund........................ 81                                                7.7 IFG – „Konkurrenz“ für den Buchhandel?.............................................................................................. 82 . 7.8 Stiftungsrat Bauakademie .................................................................................................................... 83 . 7.9 Umweltinformationsgesetz .................................................................................................................. 83 . 7.9.1 Ombudsfunktion im Umweltinformationsrecht .......................................................................... 83                   . 7.9.2 UIG oder IFG? Eine manchmal nicht einfache Abgrenzungsfrage ................................................. 84                                                        . 8     Kontrollen und Beratung ............................................................................................................................. 85 . 8.1 Pflichtkontrollen ................................................................................................................................. 85 . 8.1.1 Kontrollen und Beanstandungen bei Anti-Terror-Datei (ATD) und Rechtsextremismus-Datei (RED) ..... 85                                                                                                              . 8.1.2 Eurodac .................................................................................................................................... 86 . 8.1.3 VIS ........................................................................................................................................... 87 . 8.1.4 Kontrolle der getätigten Abfragen im Zollfahndungsinformationssystem INZOLL ......................... 87                                                                                     . 8.1.5 Schengener Informationssystem ................................................................................................ 88 . 8.2 Sonstige Kontrollen ............................................................................................................................. 88 . 8.2.1 Fragebogenkontrolle Datenschutzbeauftragte in Jobcentern ........................................................ 88                                                  . 8.2.2 Vorgangsbearbeitungssystem des Bundeskriminalamts ............................................................... 89                                                            . 8.2.3 Erste Anordnung gegenüber dem BKA ....................................................................................... 89 . 8.2.4 Funkzellendatenbank des Bundeskriminalamts .......................................................................... 90                      . 8.2.5 Verarbeitung erkennungsdienstlicher Daten durch das Bundeskriminalamt in INPOL-Z ............... 91                                                                                                   . 8.2.6 Datenschutzaufsicht und Beratung beim Bundesamt für den  Militärischen Abschirmdienst (BAMAD) ..................................................................................... 92 . 8.2.7 Datenschutzaufsicht und Beratung beim Bundesamt für Verfassungsschutz (BfV) ........................ 93                                                                                           . 8.2.8 Kontrollen zum Sicherheitsüberprüfungsgesetz – Viel „bad practice“ und ein wenig „best practice“ ................................................................................................................. 95 . 8.2.9 Kontrolle und Beratung bei der Financial Intelligence Unit (FIU) ................................................ 96                                                          . 8.2.10 Kontrolle nicht lizenzierter Postdienstleister .............................................................................. 98 . 8.2.11 Fragebogenkontrolle Betroffenenrechte ..................................................................................... 98 . 9     BfDI intern .................................................................................................................................................. 99 . 9.1 Organisationsuntersuchung ................................................................................................................. 99 . 9.2 Personalentwicklung im Jahr 2021 ........................................................................................................ 99 . 9.3 Presse- und Öffentlichkeitsarbeit.........................................................................................................100                    . 9.4 Am Ort des Geschehens: Das Hauptstadtteam des BfDI .........................................................................102                          . 9.5 BfDI in Zahlen ....................................................................................................................................103 . 10 Zentrale Anlaufstelle ..................................................................................................................................108 . 10.1 Rückblick ...........................................................................................................................................108 . Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021     5

11 Wo bleibt das Positive?.................................................................................................................................112 11.1 Erfolgreiche Zusammenarbeit mit BMU................................................................................................112 11.2 Datenschutzfreundliche Katastrophenwarnung.....................................................................................112 11.3 Deaktivierung von Zugängen in der Abordnung.....................................................................................113 11.4 Öffentlichkeit herstellen, Transparenz schaffen, Datenschutz fördern!...................................................113 Themenzuordnung nach Bundestagsausschüssen..............................................................................................115 Anlagen............................................................................................................................................................119 Anlage 1         Kontrollierte und besuchte Stellen.............................................................................................119 Anlage 2         Übersicht über Maßnahmen/Beanstandungen gegenüber öffentlichen Stellen.............................121 Übersicht über Maßnahmen/Beanstandungen gegenüber nicht-öffentlichen Stellen..........................................................................................................131 Abkürzungsverzeichnis................................................................................................................................133 Impressum.......................................................................................................................................................136 6 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 7

1            Einleitung 2021 – ein weiteres Jahr, das immer wieder und umfas-                    sinnvoll und überfällig Regelungen zum Beschäftigten- send durch die Corona-Pandemie und deren Bekämp-                        datenschutz sind. Der vom Bundesarbeitsministerium fung geprägt war. Wie schon 2020 legte die Bundesre-                    eingesetzte Beirat, dem auch ich angehört habe, hat gierung dabei Gesetzentwürfe und Verordnungen zur                       dazu Vorschläge erarbeitet. Pandemie-Bekämpfung im Akkord vor, und wie im Die Digitalisierung unserer Lebens- und Arbeitswelt Vorjahr gab es selten Zeit, diese Entwürfe sachgerecht zu wird pandemiebedingt schneller vorangetrieben. Der prüfen und die Bundesregierung zu beraten. Bei allem Einsatz von Künstlicher Intelligenz (KI) und maschi- Verständnis für die zum Teil gebotene Eile hätten ein nellem Lernen nimmt deutlich zu, aber nicht immer wenig mehr Sorgfalt und eine Einbindung von Beginn ist klar, ob Programmierung, Auftrag, Training und Er- an – wie eigentlich vorgeschrieben – der Sache sicher gebnis wirklich den gesteckten Zielen entsprechen. Die gut getan. Ergebnisse sind bei komplexen Aufgaben kaum zu kont- Denn nicht alle zu ergreifenden Maßnahmen kamen                         rollieren. Nachdem die Datenethikkommission in ihrem überraschend: Beispielsweise habe ich die Bundesregie-                  Bericht aus dem Jahr 2020 weitreichende Vorschläge rung bereits im Sommer darauf hingewiesen, dass eine                    zum Umgang mit „algorithmischen Systemen“ gemacht gesetzliche Grundlage zur Regelung der Überwachung                      hat, liegt jetzt ein Regulierungsentwurf der EU-Kommis- von 3G oder 2G am Arbeitsplatz erforderlich sein wird.                  sion vor, den es zu konkretisieren gilt. Ein entsprechendes Gesetzgebungsverfahren wurde dann aber erst Ende November und auch hier wieder                       Für den Einsatz von KI im Bereich der Strafverfolgung mit einer extrem kurzen Prüf- und Stellungnahmefrist                    und Gefahrenabwehr habe ich ein umfangreiches Kon- auf den Weg gebracht.                                                   sultationsverfahren gestartet, mit dem eine öffentliche Debatte in Gang gesetzt werden soll. Meine stetigen Hinweise, dass es für solche Maßnahmen gesetzliche Grundlagen braucht, würde ich mir gerne                     Über zehn Jahre mussten wir auf die Umsetzung der ersparen, wenn denn entsprechend gehandelt würde.                       Privacy-Richtlinie durch den Gesetzgeber warten, ehe Stattdessen werden Lösungsvorschläge – auch solche,                     im Jahr 2021 das Telekommunikationsgesetz durch das die bei richtiger Ausgestaltung datenschutzrechtlich                    Telekommunikationsmodernisierungsgesetz überar- möglich wären – oft gar nicht erst vorgelegt oder bespro-               beitet wurde. Zeitgleich wurde das Telekommunikati- chen. Vielmehr wird öffentlich lamentiert, „der Daten-                  on-Telemedien-Datenschutz-Gesetz geschaffen, mit dem schutz“ würde im Weg stehen. Entgegen dieser immer                      unter anderem die, für viele so lästigen, Cookie-Banner wieder vorgebrachten Kritik hat der Datenschutz und                     reguliert oder gar ganz vermieden werden sollen. damit auch meine Behörde aber keine einzige geeignete Zunehmend wichtiger wird die Arbeit in den EU- und Pandemiebekämpfungsmaßnahme der Bundesregierung internationalen Gremien. Der Europäische Daten- beschränkt oder gar gestoppt. So müßig es mittlerweile schutz-Ausschuss (EDSA) trifft nach langen Vorarbeiten geworden ist, werde ich auch in Zukunft nicht müde durch die jeweils zuständigen Datenschutzaufsicht- werden, dies richtigzustellen und mich Schwarzer-Pe- behörden der EU-Länder und seine Arbeitsgruppen ter-Spielen entgegenstellen, die nur den Blick auf die Beschlüsse und Leitlinien, die für alle EU-Staaten notwendigen Maßnahmen behindern. verbindlich sind. Es fehlen zwar immer noch wichtige Die Diskussion um die Kontrolle zur Einhaltung der                      Entscheidungen über bestimmte Datenerhebungen und 3G- oder gar 2G-Regelungen am Arbeitsplatz haben                        -verarbeitungen gerade der großen Internetkonzerne, es darüber hinaus exemplarisch aufgezeigt, wie notwendig,                  gibt aber erste Anzeichen für ein härteres Vorgehen ge 8 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

gen offensichtliche Datenschutzverstöße. Erstmalig hat Wege. So wurden im letzten Jahr in Zusammenarbeit der EDSA dabei auch Entscheidungen federführender mit dem Carlsen-Verlag zwei Pixi-Bücher für Kinder zum nationaler Aufsichtsbehörden deutlich nachgeschärft Thema Datenschutz herausgebracht. Bei der Vorstellung und z. B. Bußgelder empfindlich erhöht. der Bücher in Schulen war ich selbst überrascht, wie interessiert selbst Grundschulkinder schon an diesem So wie die DSGVO inzwischen weltweit die Standards Thema sind. Unser Dienstleister kommt kaum mit dem für den Datenschutz legt, hat die internationale Zusam- Ausliefern der bestellten Pixi-Bücher an die interessier- menarbeit immer größere Bedeutung. Ich arbeite im ten Bürgerinnen und Bürger nach. Das stärkt mich in Exekutiv-Komitee der Global Privacy Assembly (weltwei- meiner Überzeugung, dass man mit Datenschutz gar ter Zusammenschluss der nationalen Datenschutzbehör- nicht früh genug anfangen kann. den) mit und habe am G7-Treffen der Datenschutzbehör- den teilgenommen. Parallel zur G7-Präsidentschaft der All diese Themen und Aufgaben kann ich natürlich nicht Bundesrepublik Deutschland habe ich im Jahr 2022 den alleine bewältigen, dabei unterstützen mich ca. 275 Vorsitz dieses neuen Zusammenschlusses. hochmotivierte und fachlich exzellente Mitarbeiterin- nen und Mitarbeiter, bei denen ich mich an dieser Stelle Coronabedingt konnten auch in diesem Jahr nicht so ausdrücklich für ihre tägliche Unterstützung bedanken viele Vor-Ort-Kontrollen stattfinden wie gewünscht und möchte. geplant. Stattdessen werden Möglichkeiten für ergänzen- de schriftliche Kontrollen gesucht und diese – wo immer Mein weiterer Dank gilt „Erzaehlmirnix“, die ich – als sie möglich sind – umfangreich genutzt. Alternative zu den Karikaturen unterschiedlicher Zeich- nerinnen und Zeichner in den vorherigen Tätigkeits- Neben der Kontrolle der von mir beaufsichtigten Behör- berichten – gebeten haben, diesmal exklusiv meinen den und Unternehmen ist die Beratung und Information Bericht mit ihrer erfrischenden Sicht auf verschiedene von Bundesregierung und Bundestag, aber auch der Datenschutzthemen zu bereichern. Bürgerinnen und Bürger, meine wichtigste Aufgabe. Dem komme ich gerne nach und gehe dabei auch neue Prof. Ulrich Kelber Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 9

2 Empfehlungen 2.1 Zusammenfassung der Ich empfehle, beim Modellvorhaben Genomsequenzie- Empfehlungen des rung den Aufbau der „gemeinsamen Dateninfrastruktur“ dezentral zu strukturieren und statt einer doppelten 30. Tätigkeitsberichts Datenhaltung jeweils anlassbezogene Datenzugänge vorzusehen. (Nr. 6.6) Ich empfehle der Bundesregierung, die im Koalitions- vertrag angekündigte Institutionalisierung der DSK und Ich empfehle, das Einsichtsrecht der betrieblichen Da- die verbesserte verbindliche Kooperation der deutschen tenschutzbeauftragten in die im Unternehmen geführten Datenschutzaufsichtsbehörden durch die entsprechen- Sicherheitsakten, den Adressaten einer Beanstandung den gesetzgeberischen Maßnahmen alsbald in Angriff zu im nichtöffentlichen Bereich, den Umfang der Maßnah- nehmen. (Nr. 3.1.1; 5.7) men bei Sicherheitsüberprüfungen gem. § 33 SÜG sowie die Datenübermittlung im sogenannten Besuchskont- Ich empfehle, die Wege und den Datenkranz bei der rollverfahren im SÜG zu regeln. (Nr. 6.20) Meldung von Impfungen – Impfquotenmonitoring – zu überprüfen. (Nr. 4.1.9) Ich empfehle dem Gesetzgeber weiterhin angesichts des festgestellten geringen Nutzwerts von Antiterrordatei Ich empfehle dem BMG für den Betrieb des Implanta- und Rechtsextremismusdatei, diese abzuschaffen. teregisters eine geeignete Behörde vorzusehen – und (Nr. 8.1.1) gegebenenfalls zu schaffen –, die den Registerbetrieb dauerhaft rechtssicher und datenschutzkonform ohne Interessenkonflikte übernehmen kann. (Nr. 5.10) 10 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Zur nächsten Seite