30. Tätigkeitsbericht zum Datenschutz und zur Informationsfreiheit

I. Angemessenheitsbeschlüsse Der EDSA erwartet, dass sich die Gesetze im Vereinigten Königreich weiterentwickeln und verlangt, die Ange- Nach Art. 45 DSGVO bzw. Art. 36 JI-RL kann die Euro- messenheit kontinuierlich zu beobachten und zeitlich zu päische Kommission feststellen, dass ein Drittland oder begrenzen. Der EDSA begrüßt die Verfallsklausel eine internationale Organisation ein angemessenes der beiden von der Europäischen Kommission am Datenschutzniveau gewährleistet. Findet eine Daten- 28. Juni 2021 angenommenen Angemessenheitsbe- übermittlung im Anwendungsbereich eines Angemes- schlüsse gemäß der Datenschutz-Grundverordnung senheitsbeschlusses statt, bedarf es keiner besonderen (DSGVO) und der Strafverfolgungsrichtlinie (JI-RL), die Genehmigung durch die Datenschutz-Aufsichtsbehör- bis zum 27. Juni 2025 befristet sind. den. Die Datenübermittlung muss von keinen weite- ren Schutzmaßnahmen aus Kapitel V der DSGVO bzw. Republik Korea Kapitel V der JI-RL begleitet werden. Dessen ungeachtet Am 16. Juni 2021 leitete die Europäische Kommission das bleibt es erforderlich zu prüfen, ob die allgemeinen da- Verfahren zur Annahme des Angemessenheitsbeschlus- tenschutzrechtlichen Voraussetzungen für die entspre- ses für die Datenübermittlung an die Republik Korea ein. chende Datenverarbeitung erfüllt sind. Der Ausschuss Grundlage für die Verarbeitung von personenbezogenen hat im Berichtszeitraum Stellungnahmen zu den Ange- Daten an die Republik Korea ist das nationale Gesetz zum messenheitsbeschlüssen zum Vereinigten Königreich Schutz personenbezogener Daten (Personal Information und zu Südkorea abgegeben. Protection Act – PIPA), das in den Kernelementen mit Vereinigtes Königreich dem Datenschutzniveau der EU übereinstimmt. Die Europäische Kommission startete am 19. Februar Der EDSA hat in seiner Stellungnahme vom 24. Sep- 2021 das Annahmeverfahren zur Angemessenheit des tember 2021 keine grundsätzlichen Bedenken gegen Schutzes personenbezogener Daten durch das Vereinigte den Angemessenheitsbeschluss geäußert. Er bittet die Königreich (vgl. 6.11). Zu beiden Entwürfen der Ange- Kommission jedoch, bestimmte Begriffe und Regeln des messenheitsbeschlüsse hat der EDSA im Annahmever- koreanischen Rechts klarzustellen7. Der Angemessen- fahren zwei Stellungnahmen abgegeben6. Darin stellt er heitsbeschluss wurde am 17. Dezember 2021 von der fest, dass der Datenschutzrahmen des Vereinigten Kö- Europäischen Kommission angenommen8. nigreichs weitgehend auf dem Datenschutzrahmen der II. Neue Standarddatenschutzklauseln der Europäischen Union basiert. Er betont aber auch, dass Europäischen Kommission einige Punkte genauer überwacht werden müssen. U. a. die Ausnahmeregelung für den Einwanderungsbereich Wie bereits in meinem letzten Tätigkeitsbericht darge- und deren Auswirkungen auf die Rechte der betroffenen legt, hatte der EuGH im Schrems II-Urteil (EuGH-Urteil Personen. vom 16. Juli 2020: Rechtssache C-311/18) die Unwirksam- keit des EU-US-Privacy Shields festgestellt. Das hat zur Überwacht werden müssen auch mögliche Beschrän- Folge, dass auf dieser Grundlage keine Datenübermitt- kungen bei der Übermittlung personenbezogener Daten lungen mehr aus der EU an die USA stattfinden können. aus dem Europäischen Wirtschaftsraum in das Vereinig- In seinem Urteil hat der EuGH zwar das Instrument der te Königreich (z. B. auf Grundlage künftiger Angemes- Standardvertragsklauseln (SDK) nicht grundsätzlich in senheitsbeschlüsse des Vereinigten Königreichs oder Frage gestellt, aber festgelegt, dass diese gegebenen- internationaler Abkommen zwischen dem Vereinigten falls um sogenannte „zusätzlichen Maßnahmen“ (vgl. o. Königreich und Drittländern). 3.2.2.1) ergänzt werden müssten. Dies, damit die Daten Darüber hinaus kritisiert der EDSA verschiedene Rege- im Drittland einen im Wesentlichen gleichwertigen lungen und Praktiken im Sicherheitsbereich, die weiter Schutz genießen wie in der EU. Denn die Standardver- beobachtet und geprüft werden müssten. Beispielsweise tragsklauseln reichen nach Feststellungen des Gerichts das Abfangen von Massendaten oder die unabhängige gegebenenfalls als Schutz vor möglichen Zugriffen durch Bewertung und Überwachung des Einsatzes von Instru- Nachrichtendienste oder sonstige Sicherheitsbehörden menten für die automatisierte Datenverarbeitung. auf personenbezogene Daten aus der EU nicht aus. 6 EDPB Opinions on draft UK adequacy decisions, abrufbar unter: https://edpb.europa.eu/news/news/2021/edpb-opinions-draft-uk-adequacy-deci- sions_en 7 Opinion 32/2021regardingthe European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the Republic of Korea Version 1.0 Adopted on 24 September 2021; abrufbar unter: https://edpb.europa.eu/system/ files/2021-09/edpb_opinion322021_republicofkoreaadequacy_en.pdf 8 COMMISSION IMPLEMENTING DECISION of 17.12.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act: https://ec.europa.eu/info/sites/default/files/1_1_180366_dec_ade_kor_new_en.pdf Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 21

Am 4. Juni 2021 hat die Europäische Kommission über- IV. Zertifizierung als Datenübermittlungsinstrument arbeitete Standarddatenschutzklauseln (SDK) erlassen, an Drittstaaten welche die Vorgaben des Schrems II-Urteils berücksich- Als ein weiteres Instrument für Datenübermittlungen tigen, aber eine Prüfung der Rechtslage und Behör- in Drittländer bestimmt die DSGVO in Art. 46 Abs. 2 das denpraxis im Drittland im Einzelfall nicht entbehrlich Instrument der Zertifizierung. Die ITS ESG beschäftigte machen . Dabei hat die Kommission einen modularen 9 sich im Berichtsjahr mit der Erstellung von Leitlinien für Ansatz verfolgt, der mehr Flexibilität bei der Gestaltung dieses Übermittlungsinstrument. Hier habe ich in der von Drittstaatenübermittlungen bieten soll. Für die Nut- ITS ESG die Rolle des Hauptberichterstatters übernom- zer der alten Standardvertragsklauseln der Kommission men. Da der EDSA bereits im Jahre 2018 allgemeine ist ein 18-monatiger Übergangszeitraum vorgesehen, um Leitlinien zur Zertifizierung und Akkreditierung im die bisherigen Standardvertragsklauseln auf die neuen Rahmen der Datenschutz-Grundverordnung (DSGVO) umzustellen. veröffentlicht hat, konzentrieren sich diese Leitlinien Die deutschen Aufsichtsbehörden hatten zu dem Ent- auf die spezifischen Aspekte der Zertifizierung als Inst- wurf dieser neuen SDK eine eigene Position entwickelt, rument für Datentransfers. Sie sollen Hinweise für die die in den EDSA eingebracht wurde. Sie findet sich an Anwendung in der Praxis geben. vielen Stellen in der gemeinsamen Stellungnahme des Die Leitlinien sollen dem EDSA zeitnah zur Verabschie- EDSA und des Europäischen Datenschutzbeauftragten dung vorgelegt und in die öffentliche Konsultation (EDSB) vom 14. Januar 2021 wieder10. Zu den neuen gegeben werden. Standardvertragsklauseln der Europäischen Kommission zur Auftragsverarbeitung (vgl. 3.2.4). V. Verbindliche interne Datenschutzvorschriften – Binding corporate rules (BCR) III. Genehmigte Verhaltensregeln – Codes of Conduct Die verbindlichen internen Datenschutzvorschriften Der EDSA hat in der ITS ESG unter aktiver Mitwirkung (BCR) sind eine weitere geeignete Garantie des Kapitels meiner Behörde als Co-Rapporteur Leitlinien erarbeitet, V der DSGVO für eine Übermittlung an Drittländer. Auf die zu genehmigende branchenspezifische Verhaltensre- Ebene der ITS ESG werden eine Vielzahl von BCR geprüft geln als angemessene Garantie nach Art. 46 DSGVO für und Einzelfragen geklärt. Darüber hinaus befasst sich die Übermittlung von personenbezogenen Daten an ein die ITS ESG mit der Weiterentwicklung des BCR-Annah- Drittland zu behandeln. Im Unterschied zu den Codes meverfahrens des EDSA im Hinblick auf deren Effizienz of Conduct, die die Anforderungen des Art. 28 DSGVO (Qualitätssicherung, Beschleunigung, Vereinfachung). präzisieren (vgl. 3.2.3), handelt es sich um spezielle Verhaltensregeln, die Datenübermittlungen in Dritt- Querverweise: staaten einfacher machen sollen. Insbesondere können 3.2.2.1 Taskforce Supplementary Measures, 3.2.3 Datenimporteure im Drittland – die nicht der DSGVO Abschluss Kohärenzverfahren CoC, 3.2.4 Leitlinien unterliegen – diesen Verhaltensregeln beitreten, um ge- Verantwortlichkeit und neue Standardvertragsklauseln, eignete Garantien für die Datenübermittlung zu bieten. 6.11 Brexit Die Leitlinien geben praktische Hinweise zu den Anfor- derungen, zum Verfahren bis hin zur Annahme dieser Kodizes für die beteiligten Akteure. Außerdem sollen sie als Referenz für alle internationalen Kontrollinstanzen, den EDSA und die Kommission im Hinblick auf eine einheitliche Bewertung der Kodizes dienen. Aktuell werden die Eingaben aus der öffentlichen Kon- sultation ausgewertet, die zum 1. Oktober 2021 endete. Die Guidelines sollen Anfang nächsten Jahres durch den EDSA angenommen werden. 9 s. hierzu ausführlich die Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni2021, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/pm/2021_pm_neue_scc.pdf 10 Gemeinsame Stellungnahme1/2021 des EDSA und des EDSB zum Durchführungsbeschluss der Europäischen Kommission über Standardvertrags- klauseln zwischen Verantwortlichen und Auftragsverarbeitern für die in Art. 28 Abs. 7 der Verordnung (EU) 2016/679 und Art. 29 Abs. 7 der Verord- nung (EU) 2018/1725 genannten Aspekte, abrufbar unter: https://edpb.europa.eu/system/files/2021-04/edpb-edpsjointopinion01_2021_sccs_c_p_de_1.pdf 22 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

3.2.3 Abschluss Kohärenzverfahren CoC EU Cloud und als der EU Cloud CoC lediglich spezifische Features von CISPE Providern, die Infrastructure as a Service anbieten. Der Europäische Datenschutzausschuss hat am 19. Mai Codes of Conduct sind nicht nur ein Instrument der 2021 die positiven Stellungnahmen zu den beiden the- Selbstregulierung, sondern dienen zugleich auch der matisch eng verwandten Codes of Conduct „EU Cloud Transparenz gegenüber den Betroffenen. Ich begrüße CoC“ und „CISPE CoC“ angenommen. Es handelt sich daher sehr, dass auf diese Weise auch die Wirtschaft um die ersten EU-weiten Verhaltensregeln, zu denen ihren Beitrag zur Konkretisierung und Handhabbarkeit der EDSA eine Stellungnahme im Kohärenzverfahren der DSGVO leistet. angenommen hat. 3.2.4 Leitlinien Verantwortlichkeit und neue Standard- Erstmalig hat der Europäische Datenschutzausschuss im vertragsklauseln Rahmen eines Kohärenzverfahrens zwei positive Stel- lungnahmen zu Verhaltensregeln, sogenannten Codes of Der Europäische Datenschutzausschuss (EDSA) hat im Conduct (CoC), angenommen und damit bestätigt, dass Juli 2021 die endgültige Fassung der Leitlinien 07/2020 diese den Anforderungen der Datenschutz-Grundverord- zu den Begriffen „Verantwortlicher“ und „Auftragsverar- nung entsprechen. beiter“ in der DSGVO angenommen. Zudem hat die Eu- ropäische Kommission im Juni 2021 neue Standardver- Codes of Conduct sind Verhaltensregeln, die die Anwen- tragsklauseln zur Auftragsverarbeitung herausgegeben, dung der DSGVO präzisieren. Das Bedürfnis für eine sol- zu denen der EDSA zuvor Stellung genommen hatte. che Präzisierung ergibt sich daraus, dass die Verordnung an vielen Stellen unbestimmt ist und Generalklauseln Der EDSA hatte 2020 die Konsultationsfassung der enthält. Verhaltensregeln können als Auslegungshilfen Leitlinien 07/2020 verabschiedet (vgl. 29. TB Nr. 3.2.1). herangezogen werden und dienen daher der Rechts- Nach Abschluss der öffentlichen Konsultation wurden sicherheit. Die DSGVO knüpft bestimmte, für die dem die Leitlinien noch leicht überarbeitet und präzisiert. Code of Conduct beigetretenen Unternehmen „positive“ Die Begriffe „Verantwortlicher“, „Gemeinsam Verant- Folgen an die Einhaltung der von der zuständigen wortliche“ und „Auftragsverarbeiter“ sind für die an der Behörde genehmigten Verhaltensregeln. So kann die Datenverarbeitung beteiligten Akteure von zentraler Einhaltung der genehmigten Verhaltensregeln z. B. als rechtlicher Bedeutung. Die Leitlinien geben Hilfestel- Gesichtspunkt herangezogen werden, um nachzuweisen, lung, wie diese Begriffe voneinander abzugrenzen sind. dass die Verantwortlichen ihre Pflichten erfüllen (Art. 24 Der Anhang der Leitlinien enthält ein Flow-Chart, das Abs. 3 DSGVO). es den beteiligten Akteuren ermöglicht, ihre Rolle bzgl. einer Datenverarbeitung zu prüfen. Die Leitlinien stehen Auch kann sie als Faktor herangezogen werden, um hin- auf der Seite des EDSA zum Abruf zur Verfügung11. Die reichende Garantien bei der Einhaltung der Anforderun- deutsche Fassung wird Anfang 2022 eingestellt werden. gen an den Auftragsverarbeiter (Art. 28 Abs. 5) oder die Erfüllung der in Art. 32 Abs. 1 genannten Anforderungen Ein weiteres wichtiges Dokument im Bereich der Auf- tragsverarbeitung sind die neuen Standardvertragsklau- an die Sicherheit der Verarbeitung nachzuweisen (Art. 32 seln, die die Kommission als Durchführungsbeschluss Abs. 3). Zudem ist sie bei der Datenschutzfolgenabschät- nach Art. 28 Abs. 7 DSGVO herausgegeben hat (Durch- zung zu berücksichtigen (Art. 35 Abs. 8). Zu erwähnen ist führungsbeschluss [EU] 2021/915, ABl. EU L 199, S. 18). insbesondere auch, dass die Einhaltung bei der Verhän- Die Kommission stellt mit den Standardvertragsklauseln gung von Geldbußen zu berücksichtigen ist (Art. 83 Abs. ein Muster für eine Auftragsverarbeitungsvereinbarung 2 Satz 2 lit. j) DSGVO). (Art. 28 Abs. 3 DSGVO) zur Verfügung. Wichtig ist, dass Der EU Cloud CoC adressiert alle Services des diese Standardvertragsklauseln nur für die innereu- Cloud-Marktes und konkretisiert insoweit die Anforde- ropäische und damit selbstverständlich auch für die rungen des Art. 28 DSGVO zur Auftragsverarbeitung und innerdeutsche Datenverarbeitung greifen. Sofern Daten der damit verbundenen Vorschriften der DSGVO. Cloud in Drittländer übermittelt werden, finden die neuen Service Provider sind Auftragsverarbeiter. Der EU Cloud Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c CoC gibt praktische Hilfe und definiert spezifische An- DSGVO Anwendung (vgl. Nr. 3.2.2.2). forderungen für Cloud-Service-Provider. Der CISPE CoC Querverweise: ist wie der EU Cloud CoC ein europäischer Verhaltensko- dex für Cloud Service Provider. Er adressiert aber anders 3.2.2 EDSA Schwerpunkt Drittlandübermittlung 11 https://edpb.europa.eu Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 23

3.2.5 Leitlinien Recht auf Auskunft Art. 15 DSGVO Folgende Beispiele sind typisch für einige Fehlerquellen bei der Bearbeitung von Auskunftsersuchen durch die 3.2.5.1 Auskunftsanspruch bei den Sozialleistungsträ- Krankenkassen: gern →→ Ablehnung der Auskunftserteilung unter Berufung Obwohl die Vorschriften der DSGVO bereits seit dem 25. auf § 83 Abs. 2 SGB X Mai 2016 in Kraft getreten und seit dem 25. Mai 2018 als § 83 Abs. 2 SGB X schränkt den Auskunftsanspruch unmittelbar geltendes Recht anzuwenden sind, können auf nationaler Ebene ein, indem er den Anspruchs- eine Vielzahl von Sozialleistungsträgern dem daten- berechtigten anhält („soll“), grundsätzlich die Art der schutzrechtlichen Auskunftsanspruch als Betroffenen- Sozialdaten, über die Auskunft erbeten wird, näher recht noch immer nicht ordnungsgemäß Rechnung zu bezeichnen. Bei großen Organisationseinheiten tragen. – wie den Krankenkassen – ist dies die Regel, da sie Gemäß Art. 15 Abs. 3 S. 3 DSGVO sind die Informationen über komplexe Datenverarbeitungen verfügen. Von im Rahmen des Auskunftsanspruchs durch den Verant- daher ist die angeblich mangelnde Konkretisierung wortlichen in einem gängigen elektronischen Format des Auskunftsbegehrens durch den Betroffenen zur Verfügung zu stellen, soweit die betroffene Person kein absoluter Ausschlussgrund für die Auskunfts- den Antrag auf Auskunft elektronisch gestellt hat und erteilung. Wenn die Sozialdaten jedoch nicht sich nichts Gegenteiliges ergibt. Diesen Rechtsanspruch automatisiert oder nicht in automatisierten Daten- machten im Berichtszeitraum mehrere Beschwerdefüh- verarbeitungsanlagen gespeichert sind, d. h. analog rende in ihrem elektronischen Antrag auf Auskunft ge- in Papierform vorliegen, wird aus dem „soll“ ein genüber der Deutschen Rentenversicherung Bund (DRV „muss“. D. h. in diesem Fall muss die Krankenkasse Bund) geltend. Die entsprechenden Auskünfte nach Art. nur dann Auskunft geben, wenn der Antragsteller so 15 Abs. 3 S. 3 DSGVO wurden von der DRV Bund jedoch präzise Angaben macht, dass die Sozialdaten aufge- nicht in dem gesetzlich vorgeschriebenen elektroni- funden werden können (Art. 83 Abs. 2 S. 2 SGB X). schen Format zur Verfügung gestellt. Dies führte zu Zudem kann die Krankenkasse das Informationsinte- zahlreichen Eingaben, in Folge derer ich die DRV Bund resse und den Aufwand zum Auffinden der Sozial- zur Stellungnahme aufforderte. Daraufhin teilte mir die daten gegeneinander abwägen und soweit letzteres DRV Bund mit, dass sie derzeit kein geeignetes elektro- unverhältnismäßig ist, die Auskunft verweigern. nisches Verfahren zur Verfügung stellen kann, durch Danach kann der Krankenkasse beispielsweise nicht welches eine Auskunft nach Art. 15 Abs. 3 S. 3 DSGVO be- zugemutet werden, in großen Papierarchiven nach antragt und erteilt werden kann. Dies verstößt nachhal- tig gegen die DSGVO. Hinzu kommt, dass die DRV Bund den begehrten Informationen zu suchen. Angesichts seit Geltung der DSGVO (25. Mai 2018) ausreichend Zeit des Umfangs der Digitalisierung bei den Krankenkas- hatte, ein gängiges elektronisches Auskunftsverfahren sen dürfte diese Regelung allerdings nur noch selten zur Auskunftserteilung nach Art. 15 Abs. 3 S. 3 DSGVO anwendbar sein. zu implementieren. Aufsichtsrechtliche Maßnahmen →→ Ausschluss der mit dem Versicherten geführten werden derzeit vorbereitet. Korrespondenz Soweit der Auskunftsersuchende gemäß Art. 15 Abs. 3.2.5.2 Auskunftserteilung nach Art. 15 DSGVO durch 3 DSGVO Kopien der personenbezogenen Daten Krankenkassen anfordert, die Gegenstand der Verarbeitung sind, Im Berichtszeitraum erreichten mich zahlreiche Be- schließt der Verantwortliche hiervon gelegentlich schwerden, die Unsicherheiten der Krankenkassen im den mit dem Anspruchsteller geführten Schriftver- Umgang mit dem Auskunftsrecht ihrer Versicherten kehr aus. Dies erfolgt unter Berufung auf Erwägungs- gemäß Art. 15 DSGVO offenbarten. grund (EG) 62 der DSGVO, wonach sich die Pflicht, Das Auskunftsrecht gemäß Art. 15 DSGVO ist ein zentra- Informationen zur Verfügung zu stellen, erübrigt, les Instrument des Datenschutzes zur Herstellung von wenn die betroffene Person die Information bereits Transparenz in der Datenverarbeitung. Doch obwohl die hat. Verkannt wird hierbei, dass sich der genannte DSGVO nunmehr seit dem 25. Mai 2018 gilt, herrscht im Erwägungsgrund nicht auf den hier maßgeblichen Hinblick auf die praktische Umsetzung des Auskunfts- Art. 15 DSGVO bezieht, sondern auf die Art. 13 und rechts bei vielen Krankenkassen noch immer große Un- 14 DSGVO (Informationspflichten des Verantwortli- sicherheit. Dies zeigen die vielen Beschwerden gemäß chen). Der Anspruch aus Art. 15 DSGVO beinhaltet Art. 77 DSGVO der Versicherten, die mich um Unter- also grundsätzlich auch die mit dem Betroffenen stützung bei der Durchsetzung ihres Rechts ersuchten. geführte Korrespondenz. 24 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

→→ Keine Differenzierung zwischen Auskunftsan- 3.2.6 Leitlinien für Streitbeilegungsverfahren vor dem spruch und Akteneinsichtsrecht EDSA In einigen Fällen musste ich feststellen, dass Auskunftsersuchen mit der Begründung abgelehnt Leitlinien für Streitbeilegungsverfahren vor dem EDSA wurden, es bestehe kein berechtigtes Interesse an beschreiben Verfahren, um zu einem verbindlichen einer Auskunft. Der Betroffene muss jedoch kein Beschuss für die europäischen Datenschutzbehörden berechtigtes Interesse darlegen. Sein Auskunftsan- zu gelangen. spruch gemäß Art. 15 DSGVO liegt – soweit keine Die Leitlinien “Guidelines 03/2021 on the application Ausschlussgründe vorliegen – grundsätzlich nicht im of Article 65(1)(a) GDPR” beschreiben den Ablauf eines Ermessen des Verantwortlichen. Der Grund für die Streitbeilegungsverfahrens durch den EDSA gemäß Art. fehlerhafte Rechtsauslegung der Krankenkassen lag 65 Abs. 1 lit. a) DSGVO. Das Streitbeilegungsverfahren häufig in der falschen Einordnung der Auskunfts- hat das Ziel, Streitigkeiten zwischen der federführenden ersuchen als Anträge auf Akteneinsicht gemäß § 25 Aufsichtsbehörde und den beteiligten Aufsichtsbehör- SGB X. Dieses Recht unterliegt tatsächlich strengeren den durch den EDSA verbindlich entscheiden zu lassen. Anspruchsvoraussetzungen und verlangt unter ande- Derartige Streitigkeiten können entstehen, wenn euro- rem ein berechtigtes Interesse, dass die Kenntnis des päische Aufsichtsbehörden bei einer grenzüberschrei- Akteninhalts erforderlich ist, um die rechtlichen In- tenden Verarbeitung von personenbezogenen Daten im teressen des Betroffenen geltend machen zu können. Rahmen ihrer von der DSGVO vorgesehenen Zusammen- Zur Vermeidung von Verfahrensverzögerungen rate arbeit im Kooperationsverfahren keinen Konsens finden ich deshalb den Betroffenen, sich bei Antragsstellung konnten. In solchen Fällen muss die Angelegenheit dem ausdrücklich auf Art. 15 DSGVO zu berufen. EDSA vorgelegt werden, der sodann einen verbindlichen →→ Verweigerung der Anspruchserfüllung in elektroni- Beschluss erlässt und damit dem Ziel einer einheitlichen scher Form Rechtsanwendung auch in Einzelfällen Rechnung trägt. Vereinzelt haben sich Betroffene darüber beschwert, Die Leitlinien beschreiben u. a. den Ablauf des Verfah- dass Krankenkassen ebenso wie andere Träger von rens und die Voraussetzungen, unter denen der EDSA Sozialleistungen Kopien personenbezogene Daten einen verbindlichen Beschluss erlassen kann, sowie nicht in einem elektronischen Format zur Verfü- seine Entscheidungsbefugnis. Sie stellen damit wichtige gung stellten. Darauf hat der Antragsteller oder die Regeln auf und haben in den 2021 durchgeführten Streit- Antragstellerin aber dann einen Anspruch, wenn der beilegungsverfahren bereits Anwendung gefunden. Antrag selbst ebenfalls elektronisch gestellt wurde (Art. 15 Abs. 3 S. 3 DSGVO). Der Einwand angeblich fehlender technischer Voraussetzungen oder eines 3.3 Global Privacy Assembly unverhältnismäßigen Aufwands lässt die DSGVO bei der elektronischen Anspruchserfüllung nicht gelten. 3.3.1 Allgemeiner Bericht Die Krankenkassen sind zu dieser Form der Aus- Der BfDI war im Berichtsjahr Mitglied im Leitungsgre- kunftserteilung verpflichtet. mium der Global Privacy Assembly (GPA). Dieses Execu- →→ Fristversäumnis tive Committee nimmt wichtige Aufgaben wahr, die für Wiederholt erreichten mich im Berichtszeitraum die GPA und dessen Stimme in der Welt von wesentli- Beschwerden von Versicherten darüber, dass die cher Bedeutung sind. Die diesjährige Vollversammlung Krankenkasse ihre Auskunftsersuchen nicht inner- der GPA hat zahlreiche Datenschutzthemen bearbeitet halb der Monatsfrist gemäß Art. 12 Abs. 3 DSGVO und wegweisende Entschließungen verabschiedet. bescheiden. Häufiger Grund hierfür sind interne Wie ich bereits in meinem letzten TB berichtet habe, Kommunikations- und Ablaufmängel. In den meis- wurde ich im Oktober 2020 in das Executive Committee ten Fällen konnte ich hier eine kurzfristige Erledi- (ExCo) GPA gewählt. Zusätzlich zu den fünf gewählten gung der Angelegenheit erreichen. Mitgliedern sind jeweils der vergangene und der aktuelle Gastgeber der Jahreskonferenz Mitglieder im Executive Committee12. Das ExCo hat als Leitungsgremium der GPA den Über- blick über die Themen der einzelnen Arbeitsgruppen 12 Die Mitglieder des ExCo´s samt Lebensläufe sind auf der Internetseite der GPA veröffentlicht: https://globalprivacyassembly.org/the-assem- bly-and-executive-committee/executive-committee/ Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 25

und darüber, wie die Ziele der GPA vorangebracht auf private Daten durch Nachrichtendienste und Sicher- werden. Der Auftrag und die politischen Schwerpunkte heitsbehörden behandelt und dafür datenschutzrechtli- werden in der GPA durch Entschließungen festgelegt. Im che Grundsätze aufzeigt (s. Nr. 3.4.3). Berichtsjahr wurden die Umsetzung der Strategischen Die GPA Jahreskonferenz 2022 wird von der türkischen Planung 2019-2021 sichergestellt und die Weichen für die Datenschutzbehörde (KVKK) ausgerichtet. Strategische Planung in den kommenden Jahren (2021-2023) gestellt. Querverweise: Eine weitere bedeutende Aufgabe des ExCo ist die 3.3.2 Reference Panel, 3.4.2 Berlin Group, 3.4.3 Da- Vertretung der GPA nach außen. So kann es beispiels- tenschutzgrundsätze für den staatlichen Zugriff auf weise gemeinsame Stellungnahmen (joint statement) zu personenbezogene Daten im internationalen Bereich, globalen Themen abgeben. Dies war im Berichtsjahr der 4.2 Künstliche Intelligenz – Regulierung als gesamtge- Fall, als Gesundheitsdaten bei nationalen und internatio- sellschaftliche Aufgabe nalen Reisen verarbeitet wurden. Hier hat sich das ExCo nicht generell gegen deren Verarbeitung ausgesprochen, 3.3.2 Reference Panel sondern vielmehr auf die Bedeutung von wesentlichen Die Global Privacy Assembly – eine weltweite Vereini- Datenschutzgrundsätzen und Praktiken hingewiesen. gung von Datenschutzbehörden – hat im März 2021 mit Höhepunkt der Arbeit der GPA ist die Jahreskonferenz, dem „Reference Panel“ ein neues Gremium mit unab- die im Berichtsjahr aufgrund der Einschränkungen hängigen Fachexpertinnen und -experten geschaffen. durch Covid-19 nur digital stattfinden konnte. Sie wurde Ich habe den ersten Vorsitz im Panel übernommen. von der mexikanischen Aufsichtsbehörde organisiert. Die Global Privacy Assembly (GPA), die bis 2019 unter Das Motto war: „Privacy and Data Protection: A human dem Namen „International Conference of Data Protec- centric approach”; der Mensch soll beim Datenschutz tion and Privacy Commissioners” bekannt war, hatte in den Mittelpunkt gestellt werden. Bei den vielfältigen bei ihrer 40. Konferenz 2018 in Brüssel eine Reihe von Programmpunkten haben Covid-19 und neue Technolo- Maßnahmen beschlossen, um sich selbst zu moderni- gien – insbesondere KI – eine bedeutende Rolle einge- sieren und den Anforderungen des digitalen Zeitalters nommen. besser gerecht zu werden. Neben einem neuen Namen Die GPA hat auch wichtige Entschließungen verabschie- – Global Privacy Assembly – gehörte zu diesen Maßnah- det, an deren Ausarbeitung ich mitgewirkt habe. Einen men die Einrichtung eines Gremiums mit unabhängigen besonderen Stellenwert hat hier der Strategieplan für Expertinnen und Experten, die verschiedene Bereiche, die Jahre 2021-23. Immer bedeutsamer wird der stetig z. B. Wissenschaft, Nichtregierungsorganisationen, freie zunehmende internationale Datentransfer. Der zuneh- Wirtschaft oder öffentliche Behörden, vertreten sollen. mende Datenfluss darf aber nicht zu einer Aufweichung Dieses neue Gremium externer Fachleute hat die Aufga- oder gar einer Abschaffung des Datenschutzes führen. be, zusätzliche Expertise und Sichtweisen von außer- Hier will die GPA praktische Herangehensweisen erar- halb in die GPA einzubringen. Damit soll sichergestellt beiten, wie Personen geschützt werden können, deren werden, dass die Arbeiten der GPA für alle beteiligten personenbezogene Daten verarbeitet werden. Damit Stellen und Akteure in der digitalen Gesellschaft relevant soll sichergestellt werden, dass in Zeiten des technologi- und nützlich sind. schen Fortschritts und datenbasierter Geschäftsmodelle Nachdem die 42. Jahresversammlung der GPA im Herbst die GPA-Stimme weiterhin gehört wird. Eine weitere 2020 ein Konzept und den Namen für das neue Gremium Entschließung stammt aus der Covid-19-Arbeitsgruppe – GPA Reference Panel – beschlossen hatte, begann zu der GPA. Der Fokus ihrer Arbeit lag zunächst auf unmit- Beginn des Berichtsjahres der Auswahlprozess geeigne- telbaren Maßnahmen der Pandemiebekämpfung. Daran ter Panel-Mitglieder unter Federführung einer zu diesem anknüpfend richtet die Gruppe ihren Blick stärker in die Zweck eingesetzten „GPA Reference Panel Assessment Zukunft über den engen Bezug zur COVID-19-Pandemie Group“, die vom Vorsitz der GPA, der britischen Daten- hinaus. schutzbehörde UK Information Commissioner (ICO), Das Mandat der Gruppe wird erweitert um sämtliche geleitet wurde und deren Arbeiten ich unterstützt habe. Aspekte der Datenverarbeitung zu Zwecken des Allge- Dabei ist es gelungen, insgesamt 16 namhafte Daten- meinwohls. Ein für die GPA als Organisation wichtiger schutz-Expertinnen und Experten aus Deutschland und Entschluss war die Entscheidung, ein durch Mitglieds- aus Europa in diese internationale Gruppe zu beru- beiträge finanziertes GPA-Sekretariat einzurichten. fen. Den beiden Mitgliedern aus Deutschland, Herrn Schließlich ist die Entschließung zum „Government Andreas Mundt, Präsident des Bundeskartellamt, und Access“ zu nennen, welche die Problematik des Zugriffs Frau Prof. Franziska Böhm vom Karlsruher Institut für 26 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Technologie (KIT), danke ich ganz besonders für Ihre 3.4 Weitere internationale Bereitschaft, an dem GPA Reference Panel mitzuwirken. Gremien In meiner Eigenschaft als Mitglied des „Executive Committee“ der GPA, dem ich seit Oktober 2020 an- 3.4.1 G7 gehöre, habe ich den Vorsitz im GPA Reference Panel Die britische Datenschutzbeauftragte hat im Berichts- übernommen. Dessen erste Aufgabe bestand darin, den jahr die Datenschutzbehörden der G7-Staaten zu einem Gastgeber des 43. Jahrestreffens der GPA, die mexikani- Gespräch am Runden Tisch eingeladen. Hintergrund sche Datenschutzbehörde INAI, im Herbst 2021 bei der dieser Einladung war der Vorsitz des Vereinigten König- Erstellung des inhaltlichen Programms der Tagung zu reichs beim G7-Gipfel 2021. In dem Gespräch wurden unterstützen. Eine weitere wesentliche Aufgabe des GPA Möglichkeiten für eine fortgesetzte engere Zusammen- Reference Panels besteht darin, die Berichte und Papiere arbeit in dieser Gruppe erörtert. der thematischen Arbeitsgruppen der GPA einer kriti- schen Prüfung im Sinne einer „peer review“ zu unterzie- Weltweit werden immer mehr Daten generiert, ge- hen, sofern dies von den Vorsitzenden der betreffenden sammelt und genutzt. In einer zunehmenden globali- Arbeitsgruppen oder einem Autoren-Team eines solchen sierten und digitalisierten Welt fließen die Daten über Berichts gewünscht wird. Auch in Bezug auf diese die Grenzen der Länder und Kontinente hinweg. Hier Aufgabe des Panels begrüße ich, dass hierzu eine rege müssen die Datenschutzaufsichtsbehörden international Nachfrage von Seiten der GPA-Arbeitsgruppen bereits zusammenarbeiten, um den Datenschutz zu wahren. in der ersten Zeit seines Bestehens bestand. So haben Wenn die Daten von deutschen und europäischen Bürge- verschiedene Mitglieder des GPA Reference Panels einen rinnen und Bürgern den jeweiligen Rechtsraum verlas- umfassenden Bericht der Policy Strategy Working Group sen, dürfen sie nicht schutzlos sein. Um diesen Schutz – Workstream 3 zum Thema „Datenschutz und andere zu verbessern, ist eine Vertiefung und Erweiterung der Grundrechte bzw. im Verhältnis zu anderen Grundrech- internationalen Zusammenarbeit unerlässlich. ten“ analysiert und den Verfasserinnen und Verfassern Im September 2021 trafen sich die Behörden für den Da- ausführlich geantwortet. tenschutz und den Schutz der Privatsphäre der G7-Staa- Aus meiner Sicht ist es für die Global Privacy Assem- ten auf Einladung der damaligen britischen Daten- bly von entscheidender Bedeutung, dass sie „über den schutzbeauftragten, Frau Elizabeth Denham, erstmalig Tellerrand“ hinaus blickt und die Verbindung zur Zivil- zu einem gemeinsamen Gespräch am Runden Tisch. An gesellschaft sowie zu wichtigen Akteuren des digitalen diesem neuen internationalen Format nahmen auch das Zeitalters sucht. Nur dann wird die GPA weiterhin am Weltwirtschaftsforum und die OECD teil. Das Treffen Puls der Zeit bleiben und in der Lage sein, sich früh- stand in Zusammenhang mit dem britischen Vorsitz des zeitig neuen Entwicklungen zu widmen und sich für G7-Gipfels 2021 der Staats- und Regierungschefs. datenschutzfreundliche Lösungen einzusetzen. Als Im April 2021 haben die Digital und Technologieminister Vorsitzender des GPA Reference Panels möchte ich dazu der G7-Staaten einen Fahrplan für die Zusammenarbeit beizutragen, diese Ziele zu erreichen. zur Förderung des freien und vertrauenswürdigen Da- Querverweise: tenflusses (Data Free Flow with Trust) beschlossen. Hier sollen Gemeinsamkeiten bei den Regulierungen des 3.3.1 Allgemeiner Bericht internationalen Datentransfers identifiziert sowie gute Regulierungspraktiken und Kooperationsmöglichkeiten ausgetauscht werden. Der Runde Tisch war ein Beitrag der Datenschutzbehörden zu diesem wichtigen Thema. Die Erklärung der G7-Digital und Technologieminister zum freien und vertrauenswürdigen Datenfluss 2021 basiert auf →→ der Erklärung der Staats- und Regierungschefs der G20-Staaten 2019 in Osaka (Osaka Leader´ Declarati- on), →→ der Ministererklärung zum Handel und der digitalen Wirtschaft (2019 G20 Ministerial Statement on Trade and Digital Economy) Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 27

→→   sowie der Erklärung der Staats- und Regierungschefs Technology“ (IWGDPT) dauerhaft übernommen. Da die der G20 Staaten in Riad (2020 G20 Leaders’ Riyadh Gruppe 1983 auf Veranlassung des damaligen Berliner Declaration). Datenschutzbeauftragten gegründet worden war und Der freie und vertrauenswürdige Datenfluss ist seit meh-                   zunächst häufig in Berlin tagte, wurde die IWGDPT auch reren Jahren ein Thema in den Abschlusserklärungen                         als „Berlin Group“ bekannt. der G7 und G20 Treffen. Dies zeigt noch einmal dessen wachsende Bedeutung.                                                       Das Besondere der IWGDPT ist – neben ihrer langen Tra- dition – ihre Unabhängigkeit und Diversität. Hier wirken Erörtert wurden am Runden Tisch Möglichkeiten für                          neben Angehörigen von Datenschutzbehörden auch Ex- eine engere Zusammenarbeit der Datenschutzbehörden                         pertinnen und Experten aus den Bereichen Wissenschaft der G7-Staaten. In einem gemeinsamen Kommuniqué13                          und Forschung, von Nichtregierungsorganisationen oder wurden Kernthesen zu folgenden Themen festgehalten:                        datenschutzbezogenen Denkfabriken („Think-Tanks“). →→   Datenschutz und Wettbewerb                                            Auch Behörden oder Einrichtungen, die mit der Regulie- rung datenschutzrelevanter Bereiche oder Dienstleistun- →→   Online Tracking gen befasst sind, gehören dazu. →→   Künstliche Intelligenz Die IWGDPT ist zwar von der GPA unabhängig und be- →→   Neugestaltung von Abhilfemöglichkeiten für das                        stimmt selbst über ihre thematischen Schwerpunkte und digitale Zeitalter                                                    ihre Ausrichtung. Gleichwohl steht sie in einem näheren Verhältnis zur GPA. So berichtet der Vorsitz der IWGDPT →→   pandemiegetriebene technologische Innovationen im Plenum der GPA-Jahreskonferenz regelmäßig über →→   „Government Access“ und die                                           die Tätigkeiten der Gruppe. →→   Entwicklung eines Rahmens für den Internationalen                     Die IWGDPT konnte ihre Arbeiten im Berichtszeitraum Datentransfer.                                                        mit Einschränkungen auch während der Corona-Pande- Zu den einzelnen Bereichen wurde ein fortgesetzter                         mie fortsetzen. So hat die Gruppe ein Arbeitspapier zu Dialog zwischen den Behörden und ein Roundtable im                         sensorischen Netzwerken finalisiert, an einem Doku- Jahre 2022 vereinbart, den ich anlässlich der deutschen                    ment zu sprachgesteuerten Geräten“ weitergearbeitet G7-Präsidentschaft organisieren möchte. Angesichts der                     und mit neuen Arbeiten zu den Themen intelligente Bedeutung der Digitalisierung bitte ich die Bundesregie-                   Stadt („Smart Cities“) sowie Gesichtserkennungstechno- rung im Rahmen ihrer G7-Präsidentschaft, den Dialog                        logie begonnen. In meiner neuen Funktion als Vorsit- mit den Datenschutzbehörden im G7-Format fortzufüh-                        zender der IWGDPT werde ich mich sehr dafür einset- ren.                                                                       zen, die Intensität des Dialogs und die hohe Qualität der Arbeitspapiere und Empfehlungen der IWGDPT fortzu- Querverweise: führen. 3.4.3 Datenschutzgrundsätze für den staatlichen Zu- Querverweise: griff auf personenbezogene Daten im internationalen Bereich, 4.2 Künstliche Intelligenz – Regulierung als                      3.3.1 Global Privacy Assembly gesamtgesellschaftliche Aufgabe, 6.3 Kooperation zwi- schen Kartell- und Datenschutzaufsichtsbehörden                            3.4.3 Datenschutzgrundsätze für den staatlichen Zugriff auf personenbezogene Daten im internationalen Bereich 3.4.2 Berlin Group In verschiedenen internationalen Foren sollen ge- Seit 1983 besteht die Internationale Arbeitsgruppe                         meinsame Datenschutzprinzipien für den Zugriff von zum Datenschutz in der Technologie, die unabhängige                        Strafverfolgungs- und Sicherheitsbehörden auf perso- Expertinnen und Experten versammelt. Im März 2021                          nenbezogene Daten privater Stellen vereinbart werden. habe ich den Vorsitz von der Berliner Datenschutzbe- Solche gemeinsamen Grundsätze für „Government Ac- auftragten übernommen. cess“ können einen wichtigen Beitrag für eine rechtlich Im März des Berichtsjahres habe ich den Vorsitz der                        befriedigende Gestaltung des grenzüberschreitenden internationalen Arbeitsgruppe zu Datenschutz in Tech-                      Datenaustauschs leisten und das Datenschutzniveau nologie „International Working Group Data Protection in                    auch außerhalb der EU anheben. 13    Kurzmeldung des BfDI vom 14. September 2021 zu finden unter: www.bfdi.bund.de/kurzmeldungen 28 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Der staatliche Zugriff auf personenbezogene Daten, die Datenschutzrecht einen verbindlichen rechtlichen durch private Stellen verarbeitet werden, stand im Jahr Rahmen für die Übermittlung personenbezogener Daten 2020 im Mittelpunkt verschiedener datenschutzrechtli- in Drittstaaten vor. Daraus ergibt sich für meine Arbeit cher Initiativen. ein Spannungsfeld: Die Vereinbarung internationaler Unter dem Stichwort „Government Access“ wurde vor         Prinzipien kann zwar einen wichtigen Beitrag leisten, allem der Zugriff von Strafverfolgungs- und Sicherheits-  grenzüberschreitenden Datenaustausch nachhaltig zu behörden im Kontext grenzüberschreitender Daten-          ermöglichen und das Datenschutzniveau außerhalb der verarbeitungen in mehreren internationalen Foren          EU anzuheben. Europäische Datenschutzstandards dür- behandelt. Das gilt insbesondere für die Arbeiten im      fen dabei jedoch nicht unterschritten werden. Rahmen der Global Privacy Assembly (GPA) und der Die GPA hat auf ihrer Jahreskonferenz im Oktober 2021 Organisation für wirtschaftliche Zusammenarbeit und eine Entschließung zur Stärkung datenschutzrechtlicher Entwicklung (OECD). Darauf aufbauend haben auch die Grundsätze für „Government Access“ verabschiedet. Datenschutzaufsichtsbehörden der G7-Staaten das The- An der Ausarbeitung der „Resolution on government ma „Government Access“ diskutiert. Hintergrund sind access to data, privacy and the rule of law: principles for die Bemühungen, auf internationaler Ebene gemein- governmental access to personal data held by the private same Datenschutzprinzipien für „Government Access“ sector for national security and public safety purposes“ zu vereinbaren. Anlass dieser Bemühungen ist auch die habe ich aktiv mitgewirkt. Im Rahmen der OECD werden Schrems II-Rechtsprechung des EuGH. Das Gericht stellt sog. „Principles on government access to personal data für die Bewertung des Datenschutzniveaus in Drittlän- held by the private sector“ verhandelt, die bislang jedoch dern maßgeblich auf den Schutz personenbezogener noch nicht beschlossen werden konnten. Daten vor Zugriffen durch Sicherheitsbehörden ab. Ich begrüße es, dass die GPA die gemeinsamen Daten- Der Zugriff der Sicherheitsbehörden auf Daten privater schutzprinzipien im Oktober angenommen hat. Zugleich Stellen ist ein sensibles Thema. Berührt werden Fragen hoffe ich, dass die Arbeiten innerhalb der OECD im der nationalen Sicherheit der einzelnen Staaten. Zu- Sinne des Datenschutzes vorangebracht werden kön- gleich zeigt sich die Bedeutung des freien Datenverkehrs nen und dabei die von der GPA gefundenen Ergebnisse für die weltweite digitale Wirtschaft. Die Entwicklungen berücksichtigt werden. der letzten Jahre haben deutlich gezeigt, dass fehlende oder unzureichende internationale Datenschutzgaranti-     Auf Ebene der G7 habe ich mich für einen weiteren en nicht allein ein Risiko für den Schutz personenbezo-   intensiven Meinungsaustausch eingesetzt. Dadurch gener Daten sind. Sie haben auch erhebliche wirtschaft-   sollen die von der GPA entwickelten Grundsätze sowie liche Auswirkungen.                                       die OECD-Initiative datenschutzpolitisch unterstützt werden. Für das europäische Datenschutzrecht sind diese Initia- tiven eine Herausforderung. Es ist einerseits erstrebens- Querverweise: wert, gemeinsame internationale Datenschutzgrund- 3.2.2.1 Taskforce Supplementary Measures/Umsetzung sätze zu schaffen. Andererseits gibt das europäische Schrems II, 3.3.1 Allgemeiner Bericht, 3.4.1 G7 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 29

4 Schwerpunktthemen 4.1 Corona Datenschutz braucht „digitale Souveränität“ Ohne das GAEN der Betriebssystemhersteller Apple 4.1.1 Corona-Warn-App und Google wäre die CWA im vergangenen Jahr nicht realisierbar gewesen. Die allgemeine Kritik an der Ver- Seit dem 16. Juni 2020 ermöglicht die Corona-Warn-App wendung des GAEN und insbesondere der Vorwurf eines (CWA) der Bundesregierung ihren Nutzenden, sich unberechtigten Abgreifens von Daten wurden zunächst gegenseitig schnell und datenschutzfreundlich über nicht durch nachvollziehbare Belege behauptet. Am Risikobegegnungen zu warnen. Neben der Kontakt- 12. April 2021 jedoch veröffentlichte das Unternehmen nachverfolgung sind seitdem weitere Funktionen „appcensus“ eine Sicherheitslücke in Googles API for Ex- hinzugekommen. Beim Datenschutz verhindert die posure Notifications. Danach konnten installierte Apps Abhängigkeit von den Betriebssystemherstellern Apple auf die Daten des GAEN zugreifen. Zwar sicherte Google und Google weitere Verbesserungen. Ob die CWA ihre mir in der Folge zu, die Lücke geschlossen zu haben; ob Zwecke erfüllt, hat das Robert Koch-Institut (RKI) die Lücke ausgenutzt wurde, ist aber nicht bekannt. evaluiert. Leider blieb das GAEN nicht die einzige Funktion Ich habe dem RKI auch nach dem 16. Juni 2020 bei der der beiden Betriebssystemhersteller, die in der CWA Einführung der neuen Funktionen, unter anderem verwendet wird. Anlässlich der Datenerhebungen zur der Kontaktverfolgung beim Besuch von Lokalitäten Evaluierung der CWA wurde die Integritätsprüfung der (Eventregistrierung) und der Integration der Test- und Firmen Apple und Google in die CWA integriert. Welche Impfzertifikate in die CWA, beratend zur Seite gestan- Daten dabei an die beiden Betriebssystemhersteller zur den. Darüber hinaus habe ich die datenschutzrechtliche Prüfung gesendet werden, ist nicht bekannt. Geplant ist Aufsicht wahrgenommen und Beschwerden aus der auch, die aufgrund eines Smartphonewechsels durchaus Bevölkerung bearbeitet. Besonders viele Beschwerden wünschenswerte Funktion des Exports und anschließen- bezogen sich auf fehlende Möglichkeiten, die CWA z. B. den Imports der CWA-Nutzerdaten mit Hilfe betriebssys- auch direkt vom RKI und nicht nur über die Plattformen temeigener Funktionen zu realisieren. Apple und Google der Firmen Apple und Google beziehen zu können sowie könnten dann Zugriff auf die Daten der CWA nehmen. die „Zwangsinstallation“ des für die Abstandsmessung nötigen Google/Apple Exposure Notifications (GAEN), Die Gründe für den Rückgriff auf Dienste der Betriebs- das jedoch Teil der Betriebssysteme ist und deshalb systemhersteller Apple und Google reichten dabei von nicht in meinen rechtlichen Zuständigkeitsbereich fällt. „zwingend notwendig“ (GAEN) über „im Sinne der Vali- dierung notwendig und der Nutzerregistrierung vorzu- Datenschutz erleichtert akzeptierte und bedarfsge- ziehen“ (bei der Evaluierung) bis zum „nachvollziehba- rechte Lösungen ren Nutzerwunsch“ (Daten-Im- und -Export). Mit annähernd 39 Millionen Downloads bis Ende 2021 ist Ich habe dem RKI in diversen Stellungnahmen stets die CWA europaweit die größte und eine der am meis- deutlich gemacht, wenn möglich auf die Dienste der ten akzeptierten Apps dieser Art. Am Vertrauen, dass Betriebssystemhersteller zu verzichten und Alternativen die CWA genießt, hat der Datenschutz einen wichtigen vorgeschlagen. Das dies bislang auf keinerlei Resonanz Anteil. Er verhindert keinesfalls den Erfolg, sondern ist gestoßen ist, bleibt aus meiner Sicht das größte Manko im Gegenteil ein Erfolgsfaktor. beim Datenschutz der CWA. Ich halte es für geboten, Die CWA belegt auch, dass datenschutzfreundliche Lö- die Folge- und Weiterentwicklung der CWA so weit wie sungen nicht zulasten der Funktion gehen müssen: Kei- möglich unabhängig von den Betriebssystemherstellern ne geeignete geplante Funktion musste aus Gründen des Apple und Google zu machen, um die fehlende digitale Datenschutzes eingeschränkt werden oder gar entfallen. Souveränität in der EU nicht noch weiter zu zementieren. 30 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Zur nächsten Seite