Erfüllt die CWA ihre Zwecke?                             die Nutzende den Test mit einem QR-Code registrieren (QR-Code-Verfahren). Außerdem muss das Testlabor Das RKI legte bereits zum Start der CWA fest, dass deren diesen QR-Code verarbeiten können. Auch im Jahr 2021 Zwecke zu evaluieren sind. Dieser Aufgabe kam das RKI war dies nicht bei allen Laboren der Fall. Die Nutzenden mit zwei Berichten im April und September 2021 nach. mussten dann telefonisch eine „tele-TAN“ anfragen um Danach sehe ich durchaus Verbesserungspotentiale für ihr positives Testergebnis zu teilen. Dieses aufwändigere künftige Entwicklungen. und aus Sicht des Datenschutzes eher unerwünschte Damit ein PCR-Testergebnis auf das SARS-Cov-2 Virus      Verfahren (die Nutzenden müssen ihre Rufnummer schnell und direkt in die CWA gelangt, muss der oder     hinterlegen) vermindert die Teilungsquote der positi Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 31

ven Testergebnisse. Ob das „tele-TAN“-Verfahren auch                    4.1.2 SORMAS künftig nötig sein wird und welche Maßnahmen geplant Um endlich von Papier und Fax zu einer effizienten und sind, um dieses obsolet zu machen, hat das RKI bislang datenschutzkonformen digitalen Kontaktnachverfol- nicht evaluiert. gung in den Gesundheitsämtern zu kommen, war eine Das QR-Code-Verfahren hat sich in der Praxis gut be-                    intensive Begleitung des Projektes erforderlich. währt: Laut RKI erhielten rund drei Viertel derjenigen, Bei der Software SORMAS handelt es sich um ein Kon- die diese Verfahren nutzten, ihr Ergebnis innerhalb taktpersonenmanagement im Rahmen der SARS-CoV-2- von 24 Stunden. In den allermeisten Fällen ist damit die Pandemie, über die ich in meinem 29. Tätigkeitsbericht Voraussetzung erfüllt, die Testergebnisse rechtzeitig zu (Nr. 4.1.3) berichtet habe. Die Gesundheitsämter sollen teilen. durch die Software bei der Identifizierung und Überwa- Ein Zweck der CWA besteht darin, andere Nutzende                        chung von Kontaktpersonen unterstützt werden, indem aufgrund einer Begegnung mit einer infizierten Person                   Symptomangaben von Kontaktpersonen ohne telefoni- zu warnen. In diesen Fällen zeigt die CWA der Empfan-                   sche Rückfragen erfasst und Daten zu Fallmeldungen genden eine „rote Kachel“. Das RKI erklärte laut Evalu-                 mit anderen Gesundheitsämtern ausgetauscht werden ierungsbericht, dass „die überwiegende Zahl kritischer                  können. Neben dem digitalen Empfang von Labormel- Kontakte von der Corona-Warn-App richtig erkannt                        dungen sollen darüber hinaus auch Falldaten digital an werde“.                                                                 die Landesbehörden gemeldet werden. Bereits auf der Ministerpräsidentenkonferenz am 16. November 2020 Die Erhebungen des RKI bei den Nutzenden der CWA wurde der bundesweite Einsatz von SORMAS in den bestätigen diese These zumindest teilweise: Nutzen- Gesundheitsämtern beschlossen. de, die aufgrund einer „roten Kachel“ der CWA einen SARS-CoV-2 Test machten, hatten häufiger ein positives                  In Abstimmung mit den beteiligten Datenschutzauf- Testergebnis als der Schnitt aller Getesteten.                          sichtsbehörden der Länder habe ich nach gemeinsamer Erörterung der eingereichten Unterlagen im Januar 2021 Ich vermisse im Evaluationsbericht Erkenntnisse über einem Betrieb von SORMAS-X in den Gesundheitsäm- die Möglichkeiten und Grenzen der Kontaktnachverfol- tern unter Vorbehalt zugestimmt. Voraussetzung dafür gung mit Hilfe der CWA. Sollte die Kontaktnachverfol- war eine schriftliche Zusicherung, dass die Unterlagen gung aus epidemiologischer Sicht auch bei künftigen im laufenden Betrieb nachgebessert und vervollständigt Pandemien eine wichtige Rolle spielen, wäre dies werden. Das sollte ermöglichen, im Zuge der Risiko- dringend nachzuholen, auch um die Treffsicherheit der bewertung Risiken zu erkennen und nötige technische Warnungen weiter zu erhöhen und organisatorische Maßnahmen zu ergreifen. Dieses Zusammenfassend ist die CWA aus meiner Sicht im                         sollte schnellstmöglich unter Einsatz hinreichender internationalen Vergleich und national zu einer erfolg-                 Ressourcen erfolgen. Die Datenschutzfolgeabschät- reichen Referenz bei der Bekämpfung der Pandemie mit                    zung wurde nur als Entwurf vorgelegt. Nötig war auch Smartphone-Apps geworden. Mein Fazit fällt daher posi-                  ein Kryptographiekonzept. Die Beratung wurde ab Juli tiv aus, auch weil – nach anfänglichem Zögern – weitere                 2021 noch einmal intensiviert und eine Arbeitsgruppe nützliche Funktionen wie die Eventregistrierung sowie                   unter meiner Beteiligung und der mehrerer Landesda- der Impf- und Testnachweis mit der CWA hinzugekom-                      tenschutzbeauftragten eingerichtet. Hintergrund war, men sind.                                                               dass die Fortschritte seitens des Helmholtz-Zentrum für Infektionsforschung (HZI) über einen längeren Zeitraum Dennoch sehe ich auch Grenzen beim Einsatz und der nicht den Erwartungen entsprachen, die die Landes- Wirkung solcher Apps. Eine Evaluierung sollte Unzu- beauftragten und ich an ein solches Projekt gestellt länglichkeiten und Verbesserungsmöglichkeiten ebenso haben. So wurden Fristen zur Vorlage von Dokumenten, enthalten wie die mögliche Rolle einer CWA in einem hinsichtlich derer noch erheblicher Beratungsbedarf Gesamtkonzept zur Pandemiebekämpfung, bei der sie besteht, wie beispielsweise das Löschkonzept, die Daten- mit anderen Maßnahmen zusammenwirkt. Vor allem feldertabelle sowie die Datenschutzfolgenabschätzung, hier scheint noch ein großes Verbesserungspotenzial mehrfach über mehrere Monate verschoben. Zum Ende vorhanden zu sein. des Berichtszeitraums hat sich die Zusammenarbeit des HZI mit den Datenschutzaufsichtsbehörden des Bundes und der Länder verbessert. Ich gehe davon aus, dass die Beratung dieses hochagilen Projektes im Laufe der ersten Jahreshälfte 2022 abgeschlossen werden kann. 32 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

4.1.3 Digitales COVID-Zertifikat der EU                    Die Verordnung über das digitale COVID-Zertifikat der EU ist am 1. Juli 2021 in Kraft getreten. Drei Zertifika- Ursprünglich ging es um Reiseerleichterungen auf te werden definiert: Impfung, Test und Genesen. Die europäischer Ebene. Am Ende standen datenschutz- Mitgliedstaaten müssen die Zertifikate in Papierform freundliche Nachweise der Covid-19-Zertifikate im und digital anbieten. Die Verwendung der Zertifikate Alltag.                                                    ist freiwillig. Sie sind diskriminierungsfrei, da sie keine Am 17. März 2021 hat die EU-Kommission einen Verord-       Reisebeschränkungen in Europa schaffen, sondern nungsentwurf zum Digital Green Certificate vorgelegt.      vielmehr den grenzüberschreitenden Verkehr für die Die EU-VO soll grenzüberschreitende Reiseerleichte-        Inhaber erleichtern, indem gegebenenfalls auf weitere rungen für EU-Bürger und -Bürgerinnen während der          Maßnahmen der einzelnen Mitgliedstaaten während der Corona Pandemie innerhalb der EU ermöglichen.              Corona Pandemie (z. B. Quarantäneregelungen) verzich- tet werden kann. Es findet weder Tracking (zeitgleiche Der Europäische Datenschutzausschuss (EDSA) und der        Nachverfolgung) noch Tracing (nachträgliche Nachver- Europäische Datenschutzbeauftragte (EDSB) haben hier-      folgung) statt. Die Zertifikate dienen der Authentifizie- zu am 31. März 2021 eine gemeinsame Stellungnahme          rung sowie der Feststellung des Status der Inhaber beim (Joint Opinion) verabschiedet. Demnach sollte jede auf     Grenzübertritt. Personenbezogene Daten werden von nationaler Ebene oder auf EU-Ebene erlassene Maß-          den kontrollierenden Stellen nicht gespeichert. nahme, die die Verarbeitung personenbezogener Daten Die Verordnung und damit die Zertifikate sind zeitli beinhaltet, im Einklang mit den allgemeinen Grundsät- ch befristet. Sobald die WHO die Corona-Pandemie für zen der Wirksamkeit, Notwendigkeit und Verhältnismä-       beendet erklären wird, setzt die EU-Kommission die ßigkeit stehen. Außerdem sollten die Datenverarbeitun-     Verordnung mit einem legislativen Akt außer Kraft. Die gen auf einer angemessenen Rechtsgrundlage in den          Verordnung selbst erlaubt die Nutzung der Zertifikate Mitgliedstaaten basieren. Gleichzeitig ersuchten der       lediglich zu einem Zweck – die Erleichterung der Reise- EDSA und der EDSB die EU-Kommission klarzustellen,         freiheit. Sie eröffnet den Mitgliedstaaten zusätzlich die dass die Mitgliedstaaten alle drei Arten von Zertifikaten  Möglichkeit einer weiteren Nutzung (z. B. Zugang zu Ver- (geimpft, genesen oder getestet) akzeptieren sollten.      anstaltungen, öffentlichen Einrichtungen etc.). Davon Sollten sie dies nicht tun, läge eine Diskriminierung auf- hat der deutsche Gesetzgeber Gebrauch gemacht und grund von Gesundheitsdaten und somit eine Verletzung       ebenfalls zeitlich befristete Regelungen im Infektions- der Grundrechte vor.                                       schutzgesetz getroffen, beispielsweise für den Zugang Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 33

von Einrichtungen des Gesundheits- und Sozialwesens,                     das RKI melden. Daher hatte ich dem BMG in meiner des Nah- und Fernverkehrs oder im Hotel- und Gaststät-                   Stellungnahme empfohlen, sich am inzwischen bewähr- tenbereich.                                                              ten Verfahren zur Meldung der Intensivpatienten zu orientieren. Dies begnügt sich mit der reinen Anzahl In Deutschland werden die Zertifikate im Auftrag des und wenigen weiteren Angaben. Dennoch wurde das Robert Koch-Instituts (RKI) technisch generiert. Dabei umständliche Verfahren beibehalten und es verwun- werden keine Daten gespeichert. In der CovPassApp und dert daher nicht, dass immer wieder über Meldeverzug der Corona-Warn-App können die Zertifikate angezeigt berichtet wird. werden. Eine Kontrolle der Gültigkeit der Nachweise kann mit der CovPassCheck-App erfolgen. Die Entwick- 4.1.5 Die Bundesnotbremse und die lung dieser Anwendungen habe ich über alle Programm- ­Ausnahmeverordnung versionen hinweg datenschutzrechtlich begleitet und neben dem BMG auch das RKI als Verantwortlicher für                      Die Pandemiebekämpfung macht Gesundheitsdaten die Apps intensiv beraten.                                               quasi zur Eintrittskarte. Dabei mildern digitale Lö- sungen die Risiken nur teilweise. Klare Maßgaben zur Querverweise: Vertraulichkeit wären erforderlich gewesen. Zulässig 4.1.1 Corona-Warn-App                                                    sind solche Nachweispflichten nur soweit und solange, wie sie zur Gefahrenabwehr erforderlich sind. 4.1.4 Coronamelde-Verordnung Im letzten Tätigkeitsbericht habe ich über die durch Die Coronamelde-Verordnung ist komplexer, als sie sein                   Corona bedingten Änderungen des Infektionsschutz- müsste. Ein Weniger an Daten hätte eine schnellere                       gesetzes durch das erste, zweite und dritte Pande- Verarbeitung ermöglicht.                                                 mie-Schutz-Gesetz berichtet (29. TB, 4.1.4). Im weiteren Am 29. Juni 2021 – mit Frist zur Stellungnahme bis zum                   Verlauf der Pandemie gab es neue Gesetzesänderungen 1. Juli 2021 – erreichte mich erstmals der Entwurf des                   und Verordnungen, bedauerlicherweise erneut mit un- Bundesgesundheitsministeriums (BMG) einer „Verord-                       nötig kurzen Fristen für Beratung und Prüfung. nung über die Erweiterung der Meldepflicht nach § 6                      Bundesnotbremse Abs. 1 Satz 1 Nummer 1 des Infektionsschutzgesetzes (IfSG) auf Hospitalisierungen in Bezug auf die Coron-                    Von der sogenannten „Bundesnotbremse“ im Entwurf avirus-Krankheit-2019“. Hinter dem sperrigen Titel                       des „Vierten Gesetzes zum Schutz der Bevölkerung bei verbirgt sich eine zusätzliche Pflicht für Krankenhäu-                   einer epidemischen Lage von nationaler Tragweite“, ser und Gesundheitsämter. Ziel ist die Ermittlung der                    einem Gesetzentwurf der Koalitionsfraktionen (BT- Hospitalisierungsinzidenz als Orientierungswert für                      Drs. 19/28444), erfuhr ich erst am 13. April 2021 über Schutzmaßnahmen. Krankenhäuser müssen danach die                         die Tagesordnung des Ausschusses für Gesundheit. Im Aufnahme von Patienten namentlich an das Gesundheit-                     Vorfeld wurde ich nicht beteiligt. Die darin enthaltenen samt melden, auch wenn die Corona-Infektion dieser                       Schutzmaßnahmen selbst, wie Kontakteinschränkungen Person dort schon bekannt ist. In der Folge müssen die                   und Betriebsuntersagungen, sind dabei ohne Daten- Gesundheitsämter die Meldung prüfen, zuordnen und                        schutzrelevanz. Allerdings war in § 28c des Gesetzent- dann im üblichen Verfahren unter einer Kennnummer                        wurfs auch eine Verordnungsermächtigung enthalten, an die Landesbehörde melden, die die Meldung an das                      die Erleichterungen oder Ausnahmen für Immunisierte Robert Koch-Institut (RKI) weiterleitet. Ich hatte erheb-                und negativ Getestete umfasste. Der damit verbundene liche Zweifel, ob die Voraussetzungen der Ermächti-                      Nachweis und dessen Kenntnisnahme stellen eine Ver- gungsgrundlage (§ 15 Abs. 1 IfSG) erfüllt sind. Demnach                  arbeitung von Gesundheitsdaten dar und sind nach Art. kann das BMG die Meldepflicht nach § 6 IfSG erweitern,                   9 DSGVO nur unter besonderen Voraussetzungen und soweit die epidemische Lage dies erfordert. Warum                        mit besonderen Maßgaben zum Schutz der Betroffenen hier eine zusätzliche Mitteilung an das Gesundheitsamt                   zulässig. Dies wird im Entwurf und seiner Begründung nötig sein sollte, war aber nicht ersichtlich. Stattdessen               jedoch nicht erwähnt. Das Gesetz wurde am 22. April ging es laut Begründung um die Anzahl der Kranken-                       2021 veröffentlicht (BGBl. 2021 I, S. 802). hausaufnahmen – also um rein statistische Angaben. Ausnahme bei Nachweis Relevant sind diese Angaben wohl weniger für die Arbeit im Gesundheitsamt, sondern für die Bewertung der                         Aufgrund der Verordnungsermächtigung hat die Bun- pandemischen Lage durch das RKI. Aus Gründen der                         desregierung am 4. Mai 2021 den Entwurf einer „Ver- Datenminimierung wäre es angezeigt gewesen, dass die                     ordnung zur Regelung von Erleichterungen und Aus- Krankenhäuser die Aufnahme von Patienten statistisch                     nahmen von Schutzmaßnahmen zur Verhinderung der – also anonym, ohne persönliche Angaben – direkt an                      Verbreitung von COVID-19 (COVID-19-Schutzmaßnah 34 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

men-Ausnahmenverordnung – SchAusnahmV)“ (BT-Drs.          Ministerialverwaltung zur Prüfung und Stellungnahme 19/29257) vorgelegt, der mir wiederum erst durch die     meist nur ein kurzes Zeitfenster, teilweise nur Stunden, Tagesordnung des Ausschusses für Gesundheit bekannt      eingeräumt hat. Soweit ich innerhalb der kurzen Fristen wurde. Dass ich nicht vorher beteiligt wurde, verstößt   datenschutzrechtliche Probleme erkennen konnte, habe gegen § 21 Abs. 1 der Gemeinsamen Geschäftsordnung       ich diese geltend gemacht. Gleichwohl war und ist mir der Bundesministerien (GGO). Die am 8. Mai 2021 aus-     bewusst, dass unter den gegebenen Umständen eine gefertigte Verordnung (BAnz AT 08. Mai 2021 V1) enthält  umfassende Prüfung und Bewertung der Gesetzes- und Vorgaben, wie der Nachweis der Immunisierung oder        Verordnungsentwürfe nicht möglich war. Umso mehr der negativen Testung beschaffen sein muss und welche    werde ich die weitere gesetzgeberische Entwicklung Voraussetzungen erfüllt sein müssen. Dann nennt die      sowie die spätere Umsetzung in die Praxis beobachten. Verordnung diejenigen Regelungen der „Bundesnot-         Mögliche gesetzgeberische Defizite dürften sich nicht zu- bremse“ in § 28b IfSG, die für Personen nicht gelten,    letzt auch in einer erhöhten Anzahl an Beschwerden und die diesen Nachweis erbringen können. Mit dieser         Eingaben niederschlagen, aber auch in einer erhöhten Verordnung wurden persönliche Gesundheitsinformati-      Gefahr des Scheiterns bei gerichtlicher Überprüfung. onen zur Zugangsvoraussetzung und Geschäftsinhaber,      Bereits im Berichtszeitraum hat die Zahl der bei mir zum Hoteliers, Restaurantinhaber und Vereine zu – mehr       Gesundheitsbereich eingegangenen Beschwerden und oder weniger gewissenhaften – Kontrolleuren. Auch        Eingaben ein neues Rekordhoch erreicht. wenn datenschutzfreundlich mittels CovPassCheckApp kontrolliert wird, hat der Nachweis zur Folge, dass die  Querverweise: Person, der gegenüber der Nachweis geführt wird, Name    4.1.3 Digitaler Impfnachweis und Geburtsdatum erfährt. Daher hätte ich hier eine flankierende Maßgabe zur Wahrung der Vertraulichkeit     4.1.6 Coronavirus-Testverordnung durch die Kontrollierenden erwartet. Auch für die Bürgerteststellen gilt: bei der Verarbeitung Nachweispflicht als Schutzmaßnahme                       von Gesundheitsdaten bedarf es besonderer Sicher- Mit dem Aufbauhilfegesetz 2021 vom 10. September         heiten – wie beispielsweise der beruflichen Schweige- 2021 (BGBl 2021, S. 4147) – Art. 12 – wurde dann eine    pflicht. Wenn also Nicht-Ärzte Aufgaben übernehmen Verpflichtung zur Vorlage eines Impf-, Genesenen- oder   sollen, sind alternative Vorgaben nötig. Testnachweises zusätzlich als unmittelbare Schutzmaß-    Die „Verordnung zum Anspruch auf Testung in Bezug auf nahme in den Katalog möglicher Maßnahmen in § 28a        einen direkten Erregernachweis des Coronavirus SARS- IfSG aufgenommen. Wieder fehlte in der Begründung        CoV-2 (Coronavirus-Testverordnung – TestV)“ wurde zum Gesetzentwurf ein Bezug darauf, dass es sich bei     erstmals im Mai 2020 erlassen und danach – zeitweise den Nachweisen um Gesundheitsdaten handelt, die nach     im Monatstakt – geändert. Ich wurde erstmals im Januar Art. 9 DSGVO einem besonderen Schutz unterliegen. Die    2021 in die Ressortabstimmung einbezogen. Die in der Nachweispflicht führt zu Situationen, die sowohl von     Folge vorgelegten Entwürfe für Änderungsverordnun- nachweisenden als auch von den kontrollierenden Per-     gen hatten unnötig extrem kurze Stellungnahmefristen, sonen als unangenehm wahrgenommen werden. Dieser         meist bis zum gleichen oder bis zum nächsten Tag, im Eingriff in das Recht auf informationelle Selbstbestim-  Einzelfall bis zur nächsten Woche. Bei der Prüfung war mung wurde trotz meiner Hinweise nicht durch Maßga- für mich entscheidend, wer die Daten der getesteten ben oder Erläuterungen flankiert. Dies blieb demnach Personen verarbeitet und welche Regeln für deren Spei- den Ländern überlassen. Es wurde nicht einmal ein Hin- cherung und Übermittlung gelten. weis darauf aufgenommen, dass eine Anordnung dieser Maßnahmen besonders geprüft werden müsste und            Bei den frühen Fassungen gab es keinen Anlass zu diese Daten vertraulich zu behandeln seien. Nach Art. 9  Bedenken: Mit den Testungen waren zunächst neben Abs. 2 DSGVO ist die Verarbeitung von Gesundheitsdaten   dem Gesundheitsamt nur Arztpraxen und später auch nur unter bestimmten Voraussetzungen ausnahmsweise       Apotheken befasst, also Personen, die einer berufli- möglich. Dass die Pandemielage eine solche Ausnahme-     chen Schweigepflicht unterliegen. Zudem sollte die situation darstellt, hätte transparenter gemacht werden  Abrechnung gerade ohne Angaben zu den getesteten sollen. Ich wies das BMG daher darauf hin, dass die Maß- Personen auskommen. Zeitgleich mit Einführung der – nahmen zur Pandemiebekämpfung fortlaufend zu über-       für die Getesteten kostenfreien – Bürgertestung wurde prüfen und gesetzliche Verpflichtungen zur Verarbeitung  der Kreis auf „weitere geeignete Dritte“ erweitert: Das personenbezogener Daten so früh wie möglich wieder       Gesundheitsamt kann auch „weitere Anbieter, die eine aufzuheben sind. In der Folge erreichten mich weitere    ordnungsgemäße Durchführung, insbesondere nach Gesetzes- und Verordnungsentwürfe, bei denen mir die     einer Schulung nach § 12 Abs. 4, garantieren“, beauftra Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 35

gen. Da die Testanbieter neben Name und Adresse auch                    Querverweise: Gesundheitsdaten verarbeiten und eine positive Testung 4.1.8 Infektionsschutzgesetz zudem die Pflicht zur Meldung ans Gesundheitsamt auslöst, hatte ich erwartet, dass die Landesbehörden bei 4.1.7 Das „EpiLage-Fortgeltungsgesetz“ der Umsetzung der Verordnung den Teststellen Vorga- ben zu Datenschutz und Datensicherheit machen. Dies                     Pandemische Pflichten und Eingriffe ohne Pandemiela- war jedoch nicht durchgehend der Fall. Der „insbeson-                   ge? Die pandemiebedingten Regelungen wurden durch dere“-Zusatz erweckte offenbar den Eindruck, dass die                   das EpiLage-Fortgeltungsgesetz entfristet und vom Schulung das wesentliche Kriterium für eine zulässige                   Bestehen der epidemischen Lage abgekoppelt. Dies gilt Beauftragung ist. Jedenfalls entstanden in der Folge eine               auch für die Übermittlung von Nachweisen aufgrund Vielzahl von Schnelltestzentren – in Zelten, Containern,                der Anmeldepflicht nach der Einreiseverordnung. leerstehenden Veranstaltungsräumen oder Ladenloka- Am 2. Februar 2021 versandte das Bundesministerium len. Ob die Datenverarbeitung der jeweiligen Verant- für Gesundheit (BMG) den Entwurf einer Formulierungs- wortlichen im Einklang mit den Vorgaben der DSGVO hilfe für den „Entwurf eines Gesetzes zur Fortgeltung für Gesundheitsdaten stand, war zuweilen zweifelhaft; der die epidemische Lage von nationaler Tragweite be- es wurden verschiedene, auch größere Pannen bekannt. treffenden Regelungen – (EpiLage-Fortgeltungsgesetz)“ Erst mit der Änderungsverordnung vom 12. November mit der wiederholt extrem kurzen Frist zur Stellungnah- 2021 wurde auf meinen Hinweis hin die Vorgabe aufge- nommen, dass auch die weiteren Leistungserbringer zur                   me bis zum 3. Februar 2021 16.00 Uhr. Die Formulie- Verschwiegenheit verpflichtet sein müssen.                              rungshilfe beinhaltete den Erhalt der Regelungen, die aufgrund der Feststellung der epidemischen Lage von Unklarheiten bedingte auch die – unverändert gebliebe-                  nationaler Tragweite erlassen wurden und die überwie- ne – Pflicht, die Auftrags- und Leistungsdokumentation                  gend mit deren Aufhebung oder aber spätestens zum 31. aufzubewahren. Für Ärztinnen und Ärzte entspricht                       März 2021 außer Kraft treten würden, über das Ende der diese Vorgabe der üblichen Praxis. Was sie allerdings                   epidemischen Lage hinaus. Die epidemische Lage selbst für die „geeigneten Dritten“ bedeutet und ob darin eine                 sollte danach jeweils befristet gelten und eines Verlänge- hinreichende Grundlage für die Speicherung von perso-                   rungsbeschlusses bedürfen. nenbezogenen Gesundheitsdaten lag, war zweifelhaft. Es führte außerdem zu Unsicherheit bei den Anwen-                       Diese nun beabsichtigte zeitliche Begrenzung der dern und Diskussionen bei den Datenschutzbehörden.                      epidemischen Lage ermöglichte die verfassungsrecht- Unter dem Eindruck bekannt gewordenen vermuteten                        lich gebotene erneute Prüfung und Befassung mit den Abrechnungsbetrugs enthielt die TestV in der Fassung                    pandemiebedingten Regelungen durch den Deutschen vom Juni allerdings eine konkretisierende Aufzählung                    Bundestag, was auch aus meiner Sicht zu begrüßen ist. zur Dokumentation, um die Abrechnungsprüfung zu                         Für verschiedene Verordnungsermächtigungen sollte ermöglichen. Sogar das Testergebnis, ein besonders zu                   die bislang festgelegte zusätzliche Befristung dagegen schützendes Gesundheitsdatum, sollte danach bis Ende                    wegfallen, so dass sie automatisch ebenso lange wie die 2024 aufbewahrt werden. Der Sinn erschließt sich nicht:                 Feststellung der epidemischen Lage gelten würden. Dies Die Vergütung gibt es unabhängig vom Testergebnis und                   betraf auch die Coronavirus-Einreiseverordnung. Nach die Prüfung der zuverlässigen Meldung positiver Tests ist               der mehrfach geänderten Verordnung gab es zu dieser nur zeitnah zielführend. Eine Aufbewahrung wäre daher                   Zeit eine Anmeldepflicht für Einreisende unabhängig allenfalls für einige Monate erforderlich. Auf meine                    vom genutzten Verkehrsmittel. Verschiedene Angaben entsprechenden Hinweise wurde in der Fassung vom                        zur Person und zum Aufenthaltsort waren dem Gesund- Oktober wenigstens eigens für die Testergebnisse eine                   heitsamt zu übermitteln. Allerdings ist es denkbar, dass verkürzte Frist bis Ende 2022 vorgesehen.                               diese Pflicht in bestimmten Konstellationen keinen substanziellen Beitrag zur Pandemiebekämpfung mehr Nach Wegfall der Bürgertestung mussten berechtigte leisten kann, auch wenn die Feststellung der epide- Personen ihren Anspruch auf eine kostenfreie Testung mischen Lage weiter besteht oder verlängert wird. geltend machen und ein medizinisches Impfhindernis Ich machte daher geltend, dass nur die Befristung der oder eine Schwangerschaft nachweisen. Hier stellte Verordnung unabhängig von der epidemischen Lage ich gegenüber dem BMG klar: Auch Schwangere haben eine regelmäßige Überprüfung gewährleistet, ob die Anspruch auf ein Attest, das nur die nötigen Angaben Datenübermittlungspflichten erforderlich sind und den enthält; sie müssen nicht den Mutterpass mit einer Datenschutzvorgaben entsprechen. Vielzahl von Befunden verwenden. Und ein Attest über eine medizinische Kontraindikation darf keine Diagnose                  Eine überarbeitete Fassung der Formulierungshilfe wur- enthalten, da diese hier nicht erheblich ist.                           de am Samstag, den 6. Februar 2021 am frühen Nachmit 36 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

tag, übersandt mit Frist zur Stellungnahme bis Sonntag,    der Neuregelung die stärkere Eingriffstiefe rechtfertigen den 7. Februar 2021. Sollte dann keine Rückmeldung vor-   konnte. In der Fassung vom Juli wurde die Verordnung liegen, gehe das BMG von einer Zustimmung aus, hieß       dann unabhängig vom Bestehen der Pandemielage bis es bemerkenswerterweise weiter. Ein solches Verfahren     zum Ende des Jahres 2021 befristet. mit kürzesten Fristen unter Einbeziehung des Wochen- Bei der folgenden Neufassung im September, bei der endes entbehrt jeglicher Grundlage und macht mir meine Beteiligung bedauerlicherweise wieder versäumt meine Aufgabe zur Beratung von Bundesregierung und wurde, blieb die Frist unverändert. Dennoch ist fortlau- Bundestag unnötig schwer. Eine solche Vorgehensweise fend zu überprüfen, ob die mit der Anmeldepflicht ver- lässt sich auch mit den Regelungen der Gemeinsamen bundene Datenübermittlung zur Pandemiebekämpfung Geschäftsordnung der Bundesministerien (GGO) nicht geeignet und erforderlich ist. in Einklang bringen. Dieses Verfahren war auch der verfassungsrechtlichen Bedeutung der vorgesehenen 4.1.8 Zweites IfSG-Änderungsgesetz: digitale Regelungen nicht angemessen, ermöglichen einige doch ­Nacherfassung der Impfungen und 3G am Arbeitsplatz umfangreiche Eingriffe in grundrechtlich geschützte Rechtspositionen der Bürgerinnen und Bürger.               Die Nacherfassung und 3G am Arbeitsplatz als eine der datenschutzrechtlichen Herausforderungen der Pande- Ich wandte mich daher an den Gesundheitsausschuss miebekämpfung – Deutschland digitalisiert die Impfbe- und machte auch hier meine Bedenken an der auto- scheinigung mit Risiken für die Vertrauenswürdigkeit matischen Verlängerung und die Erforderlichkeit der und weist Arbeitgebern eine wesentliche Rolle bei der laufenden Überprüfung auf Erforderlichkeit geltend. Pandemiebekämpfung zu. Zu meinem Bedauern wurden meine Hinweise nicht berücksichtigt. Mit dem vierten Pandemie-Schutzgesetz      Unmittelbar folgend auf das Vierte Bevölke- wurde im Juli 2021 stattdessen eine weitere Änderung       rungs-Schutz-Gesetz vom 22. April 2021 wurde bereits vorgesehen: die Verordnung gilt demnach sogar bis          die nächste Änderung des Infektionsschutzgesetzes längstens ein Jahr über die Dauer der epidemischen         angegangen. Am Freitagnachmittag, den 23. April 2021, Lage hinaus. Grundsätzlich impliziert das Auslaufen der    wurde der Entwurf eines „Gesetzes zur Änderung des In- epidemischen Lage, dass die pandemiebegingt einge-         fektionsschutzgesetzes und anderer Gesetze“ mit erneut führten Regelungen entbehrlich werden. Inwiefern die       extrem kurzer Frist zur Stellungnahme bis Montag, 26. Pflichten und Eingriffe auch nach Wegfall der epidemi-     April 2021, vorgelegt. Mit der Änderung sollten Nachtra- schen Lage noch erforderlich sein sollten, bedarf daher    gungen im Impfausweis und die Ausstellung digitaler erst recht fortlaufend der sorgfältigen Überprüfung.       Impfnachweise auch durch Apothekerinnen und Apothe- ker möglich sein. Dies sollte offenbar dazu dienen, den Corona-Einreiseverordnung geimpften Personen möglichst schnell zu dem von der Die Corona-Einreiseverordnung wurde am 12. Mai 2021        EU konzipierten Digitalen Zertifikat zu verhelfen, ohne neugefasst und galt für die Dauer der Feststellung der     die Impfzentren und Hausarztpraxen übermäßig zu epidemischen Lage. Vor Erlass dieser Neufassung wurde      belasten. Denn die Impfkampagne war bereits in vollem ich leider überhaupt nicht beteiligt und erlangte erst im  Gange: Durch Impfteams und Impfzentren hatten die Nachhinein Kenntnis. In der Folgezeit wurden Rege-         Angehörige von Risikogruppen ihre Impfung bereits er- lungen bereits in der Presse thematisiert, obwohl die      halten, bevor die technischen Vorgaben und die nötigen Ressortabstimmung nicht abgeschlossen war.                 Anschlüsse und Übermittlungswege für die Generierung des digitalen Impfnachweises zur Verfügung standen. Nach den Regelungen in der Neufassung mussten ein- reisende Personen zusätzlich die Nachweise als geimpft,    Dieses Ziel ist nachvollziehbar. Die Regelung geht jedoch genesen oder getestet über das Portal für die digitale     weit darüber hinaus: Sie ist allgemein gefasst und damit Einreiseanmeldung an das zuständige Gesundheitsamt         nicht auf die Corona-Impfungen beschränkt. Die Nach- übermitteln. Dabei wird die Tatsache des Vorliegens des    tragung oder Bestätigung durch eine Person, die die Nachweises („ob“) bereits bei der Anmeldung angege-        Impfung nicht selbst vorgenommen hat, birgt dabei im- ben. Zuvor war die Vorlage daher nur auf Anforderung       mer ein Risiko hinsichtlich der inhaltlichen Richtigkeit. der Behörde vorgesehen. Dem Infektionsschutz kann jedoch nur ein Impfnach- Leider erschöpft sich die Begründung für die Änderung      weis dienen, der eine tatsächlich durchgeführte Imp- hier entgegen §§ 62, 43 GGO in der Beschreibung der        fung bescheinigt. Es waren zu diesem Zeitpunkt bereits Regelung und erläutert nicht, warum eine stichproben-      Fälschungen von Impfnachweisen in erheblichem hafte Kontrolle nicht mehr ausreichen soll. Zu dieser      Umfang im Umlauf. Durch die Nacherfassung durch Ausweitung der vorsorglichen Datenübermittlungen bei       Apotheken unter der eigenen elektronischen Signatur der Einreise war daher nicht ersichtlich, dass der Nutzen  übernimmt die jeweils nacherfassende Person die Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 37

Verantwortung auch für die inhaltliche Richtigkeit. Das                 datenschutzkonforme Anwendung der gesetzlichen Vor- Risiko, in erheblichem Umfang hierdurch inhaltlich                      gaben für unabdingbar: Arbeitgeberinnen und Arbeit- falsche digitale Impfnachweise zu generieren, hielt ich                 geber haben sorgfältig zu prüfen, welche der sensiblen für beachtlich und ein Interesse an falschen Nachweisen                 Gesundheitsdaten ihrer Beschäftigten sie unter welchen aufgrund der damit verbundenen Vorteile für hoch.                       Bedingungen für den jeweiligen Zweck unbedingt erhe- ben, speichern oder anderweitig verarbeiten müssen. Diesem signifikanten Risiko wurde durch den Gesetz- Dabei sind die Grundsätze der Datenminimierung entwurf in keiner Weise begegnet. Erst mit dem „Gesetz (Art. 5 Abs. 1 lit. c DSGVO) und der Speicherbegrenzung zur Änderung des Infektionsschutzgesetzes und weiterer (Art. 5 Abs. 1 und 17 lit. e DSGVO) sowie die besonderen Gesetze anlässlich der Aufhebung der Feststellung der Vorgaben für die Verarbeitung sensibler Gesundheits- epidemischen Lage von nationaler Tragweite“ vom daten nach dem Bundesdatenschutzgesetz und der 22. November 2021 (BGBl 2021, S. 4906) wurden flankie- Datenschutzgrundverordnung zu berücksichtigen. Wird rend die Straftatbestände im Strafgesetzbuch angepasst, beispielsweise der genaue 3G-Status der Beschäftigten um gegen bekannt gewordene Fälschungen vorgehen zu mittels Sichtkontrolle oder CovPassCheck-App vor Zutritt können. Es wurde leider nicht geprüft, ob eine ander- zum Gebäude erhoben, so ist es für die Zutrittskontrolle weitige Unterstützung von Impfzentren und Arztpraxen möglich wäre, die – entsprechend meiner Empfehlung                      regelmäßig nicht erforderlich, den 3G-Status perso- – eine zuverlässige, inhaltlich richtige Nacherfassung                  nengenau längerfristig zu speichern. Für die Erfüllung durch die impfende Institution selbst gewährleisten                     der Dokumentationspflicht genügt es, nachprüfbare würde. Ebenso wurde entgegen meiner Empfehlung die                      Prozesse zu etablieren, auf welche Weise der 3G-Status Nacherfassung allgemein zugelassen; es wurde darauf                     der Beschäftigten durch die Arbeitgeber geprüft wird. verzichtet, sie auf besondere Fälle – wie die Impfungen                 Für die Anpassung betrieblicher Hygienekonzepte vor der Möglichkeit zur digitalen Erfassung oder beson-                 sind personenbezogene 3G-Daten der Beschäftigten dere Ausnahmen oder auch nur auf Corona-Impfungen                       im Regelfall nicht erforderlich. Zu prüfen ist, ob die – zu begrenzen oder zu befristen. Hier soll eine risikoge-              Verarbeitungszwecke auch mit anonymisierten, pseud- neigte Datenverarbeitung zur Methode werden. Bei der                    onymisierten und aggregierten Daten erreicht werden zu erwartenden Evaluation des Infektionsschutzgesetzes                  können. Wichtig ist zudem, dass die Erhebung durch sollte dieser Passus auf der Agenda stehen.                             Personen erfolgt, die gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet sind, beispielsweise nicht 3G am Arbeitsplatz                                                      durch unmittelbare Vorgesetzte, und dass die 3G-Daten In demselben Gesetzgebungsverfahren vom 22. Novem-                      durch technisch-organisatorische Maßnahmen vor der ber 2021 (BGBl 2021, S. 4906) wurden erstmals Regelun-                  unbefugten Kenntnisnahme durch Dritte geschützt sind. gen zur Verarbeitung sog. 3G-Daten („geimpft, genesen,                  Dazu gehören auch Kolleginnen und Kollegen. Sobald getestet“) am Arbeitsplatz aufgenommen. Schon lange                     der Zweck für die Speicherung der Gesundheitsdaten vorher habe ich den zuständigen Bundesministerien                       entfallen ist, müssen sie gelöscht werden. Die maxi- geraten, datenschutzgerechte Rechtsgrundlagen zu                        mal zulässige Speicherdauer von sechs Monaten nach schaffen, die die Verarbeitung von 3G-Daten am Arbeits-                 Erhebung, die § 28b Abs. 3 Satz 9 IfSG vorsieht, kann also platz ermöglichen.                                                      auch wesentlich kürzer ausfallen. Die gesetzliche Regelung sieht nun allerdings eine                      Querverweise: Pflicht zur Prüfung des 3G-Status vor Zutritt zur Arbeits- 4.1.3 Digitales COVID Zertifikat stätte vor. Arbeitgeberinnen und Arbeitgeber dürfen die sensiblen 3G-Daten aus den Impf-, Genesenen- oder 4.1.9 Digitales Impfquotenmonitoring Testnachweisen ihrer Beschäftigten verarbeiten, soweit dies für den Zweck der Zugangskontrolle zur Arbeitsstät-                Von der Schwierigkeit, in der Pandemie mit digitalen te und für die Dokumentation, dass die gesetzlichen Zu-                 Mitteln die Übersicht über die Impfungen zu behalten trittsvoraussetzungen eingehalten wurden, erforderlich                  oder: (Zu) viele Wege führen zum Robert Koch-Institut. ist. Außerdem dürfen die Daten für die Anpassung von                    Die mit dem Masernschutz eingeführte und pandemie- Hygienekonzepten auf Grundlage der Gefährdungsbeur-                     bedingt ausgeweitete Meldepflicht erfüllt ihren Zweck teilung verarbeitet werden.                                             nicht vollständig und sollte zusammen mit dem Melde- verfahren grundlegend überarbeitet werden. Die Fristen zur Stellungnahme waren auch in diesem Gesetzgebungsverfahren wieder sehr kurz bemessen.                       Mit dem Dritten Bevölkerungs-Schutz-Gesetz (Drittes Ich hätte mir für eine Beratung eine deutlich frühere Be-               Gesetz zum Schutz der Bevölkerung bei einer epidemi- teiligung gewünscht, die nach meinen frühen Hinweisen                   schen Lage von nationaler Tragweite vom 18. November unproblematisch möglich gewesen wäre. Ich halte eine                    2020, 29. TB Nr. 4.1.4) wurde in § 13 Abs. 5 Infektions 38 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

schutzgesetz (IfSG) eine Pflicht der Kassenärztlichen      RKI, sondern für die Impfzentren tätig wird, so dass eine Vereinigungen und der Impfzentren zur Meldung von          zuverlässige Trennung der Aufgabenwahrnehmung zu Daten zu Impfung und Impffolgen vorgesehen, die            gewährleisten war. sowohl an das Robert Koch-Institut (RKI) als auch das Paul-Ehrlich-Institut (PEI) zu übermitteln wären. Ich empfehle, die Wege und den Datenkranz bei der Die von mir als nicht erforderlich und nicht datenspar-    Meldung von Impfungen – Impfquotenmonitoring – zu sam kritisierte Doppelung gab es dann in der Praxis tat-   überprüfen. sächlich nicht: die Daten werden dem RKI übermittelt, das diese aggregiert an das PEI leitet. Eine Korrektur der Querverweise: entsprechenden gesetzlichen Regelung erfolgte nicht, obwohl ich das in meiner Stellungnahme zum EpiLa-          4.1.7 Das „EpiLage-Fortgeltungsgesetz“ ge-Fortsetzungsgesetz (siehe Nr. 4.1.7) angemahnt hatte. Übrigens: schon im Zusammenhang mit dem Masern- schutzgesetz (vgl. 28. TB Nr. 5.6) hatte mir das Bundes-   4.2 Künstliche Intelligenz – ministerium für Gesundheit (BMG) eigentlich zugesagt,      Regulierung als gesamtgesell­ Datenkranz und Übermittlungsverfahren zu überprüfen. Stattdessen wird das Konzept auf Basis der bedenklichen    schaftliche Aufgabe Regelung weiter ausgebaut. Künstliche Intelligenz (KI) ist eine Schlüsseltechnologie Im März wurde durch eine Änderung der Verordnung           der Digitalisierung. Algorithmenbasierte Entschei- zum Anspruch auf Schutzimpfung gegen das Corona-           dungsprozesse und lernende Systeme dringen in alle virus SARS-CoV-2 (Impfverordnung) der Kreis der zum        Lebensbereiche vor und versprechen Lösungsansät- Impfen Berechtigten und zur Meldung Verpflichteten         ze, an die ohne KI kaum zu denken wäre. Es ist eine auf Arztpraxen und Betriebsärzte erweitert. Der Ent-       wesentliche gesellschaftliche und politische Aufgabe, wurf der Änderungsverordnung wurde mir am 22. März         diese Technologie so zu gestalten, dass sie den Men- mit Frist zur Stellungnahme zum 25. März zugeleitet.       schen und seine Rechte in den Mittelpunkt stellt und Die kurze Frist erschwerte auch hier die sachgemäße        dabei gleichzeitig innovative Entwicklungen und einen Prüfung, ebenso wie unzureichende Erläuterungen in         breiten Einsatz in vielen Bereichen ermöglicht. der Begründung. Dies wäre wegen der verschiedenen Der Innovationswert, der sich aus Anwendungen der KI Meldewege erforderlich gewesen: Die Meldungen laufen ergibt, ist unbestreitbar. Ihre immer stärkere Verbrei- teils aggregiert direkt an das RKI, teils personenbezogen tung bringt jedoch nicht nur Vorteile mit sich. Sie kann an die Kassenärztliche Vereinigung, teils unter Nutzung auch zu grundlegenden und tiefgreifenden Verletzun- des elektronischen Meldesystems der Kassenärztlichen gen von Grundrechten führen. Beispielsweise helfen Bundesvereinigung, teils unter Verwendung des Deut- KI-basierte medizinische Verfahren dabei, dass Kreb- schen Elektronischen Melde- und Informationssystems serkrankungen früher erkannt werden können. Sprach- gem. § 14 IfSG (DEMIS), das das RKI zur Verfügung stellt. oder Gesichtserkennungssoftware, die Personen auf der Hier stellte sich die Frage, ob insgesamt eine aggregier- Grundlage ihrer biometrischen Merkmale identifiziert, te, anonyme und unmittelbare Übermittlung ausgereicht kann zur Kriminalitätsbekämpfung und Aufklärung von hätte. Tatsächlich entstanden später trotz – oder wegen Straftaten zum Einsatz kommen. Sie kann aber genauso – der umfassenden Regelung bekanntlich erhebliche repressiv zur Überwachung und Kontrolle der Bürgerin- Unsicherheiten über die tatsächliche Impfquote. nen und Bürger eingesetzt werden. Schon im Jahr 2020 hatte ich damit begonnen, das RKI Gleichzeitig verändert KI die Interaktion von Mensch zur technischen Umsetzung des Meldeverfahrens, das und Technik in der Arbeitswelt. So können Assistenz- in Zusammenarbeit mit der Bundesdruckerei realisiert systeme Beschäftigte beispielsweise von anstrengenden werden sollte, zu beraten. Die Angaben zur Impfung oder gefährlichen Tätigkeiten entlasten und bei komple- werden in den Impfzentren über eine Web-Applikati- xen Prozessen und Entscheidungen unterstützen. Trotz on der Bundesdruckerei erfasst; alternativ kann über dieser Chancen darf KI nicht um jeden Preis Eingang eine von der Bundesdruckerei zur Verfügung gestellte in die Arbeitswelt finden. Denn ihre Anwendung in der Schnittstelle eine Einbindung in die in den jeweiligen Arbeitswelt, zum Beispiel in Bewerbungsverfahren, ist Impfzentren genutzte Software zur Erfassung genutzt mit einem besonders hohen Risiko für die Persönlich- werden. Prüfbedürftig war hierbei das angewandte Pseu- keitsrechte von Bewerbern und Beschäftigten verbun- donymisierungsverfahren, bei dem die Bundesdruckerei den. Spezifische gesetzliche Regelungen für den Einsatz – bei Verwendung der o. g. Schnittstelle – nicht für das von KI in diesem Bereich sind notwendig, fehlen jedoch Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 39

bislang. Im Beirat Beschäftigtendatenschutz (vgl. Nr. 4.3)              hnologie durch Polizei- und Strafverfolgungsbehörden habe ich mich daher dafür eingesetzt, den Einsatz von                   veröffentlichen. Auch hier bringe ich mich als einer der KI im Beschäftigtenkontext in Deutschland gesetzlich zu                 Berichterstatter aktiv ein. regeln. Darüber hinaus bin ich in der sogenannten „Working KI kann häufig leicht in bestehende Systeme und                         Group Artificial Intelligence“ der Global Privacy As- Anwendungen integriert werden. Solche Systeme und                       sembly (GPA) engagiert. Dabei handelt es sich um eine Anwendungen enthalten vielfach bereits biometrisch                      Unterarbeitsgruppe der internationalen Datenschutzkon- auswertbare Informationen wie etwa Fotos, Videos                        ferenz, die regelmäßig datenschutzpolitische bzw. daten- oder Stimmaufzeichnungen. Sie können mit geringem                       schutzrechtliche KI-Themen diskutiert und dazu Ent- Aufwand durch KI so ergänzt werden, dass biometrische                   schließungen und Empfehlungen erarbeitet. Bereits im Auswertungen möglich werden. Der Einsatz von KI                         vergangenen Jahr wurde eine Resolution zum Umgang besonders zur biometrischen Datenanalyse muss daher                     mit der Nutzung von KI verabschiedet, die die grundsätz- sehr sorgfältig auf seine individuellen, aber auch ge-                  lichen Anforderungen für die Entwicklung und Nutzung samtgesellschaftlichen Auswirkungen überprüft werden.                   von KI darlegt, die erforderlich sind, um den gebotenen Gerade in Bezug auf den Einsatz von KI ist es wichtig,                  Rechenschaftspflichten nachzukommen. Aktuell arbeite die Bedeutung des Datenschutzes für die Achtung von                     ich innerhalb dieses Gremiums u. a. intensiv an einem Versammlungsfreiheit, Meinungs- und Meinungsäuße-                       Papier mit, das sich mit den Risiken für die Rechte und rungsfreiheit und Vereinigungsfreiheit anzuerkennen.                    Freiheiten des Individuums durch KI-Systeme beschäf- Es ergibt sich an vielen Stellen also durchaus ein                      tigt. Ziel ist es hierbei, den Blick für die individuellen, Spannungsverhältnis. Der Datenschutz kann hier einen                    aber auch gesellschaftlichen Risiken für Datenschutz und wichtigen Beitrag für einen Interessenausgleich leis-                   Ethik im Zusammenhang mit KI zu schärfen. ten: durch Aspekte wie Risikoabwägung, Transparenz, Eine weitere Zusammenarbeit im KI-Bereich wurde Überprüfbarkeit und Intervenierbarkeit trägt er dazu während des G7- Regulatory Cooperation Roundtable bei, dass sich der Fortschritt so gestalten lässt, dass KI beschlossen. Dabei sind die Datenschutzaufsichtsbehör- gleichzeitig effizient, innovativ, datenschutzkonform und den der G7-Mitgliedsstaaten im September 2021 unter am Gemeinwohl orientiert ist. Datenschutz ist damit ein dem Vorsitz der britischen Datenschutzbeauftragten maßgebliches Erfolgskriterium für KI-Anwendungen. Elizabeth Denham erstmalig zusammengekommen (vgl. KI lässt sich kaum mehr in nationalstaatlichen Grenzen                  Nr. 3.4.1). In einem gemeinsamen Kommuniqué wurde denken. Eine so globalisierte Technologie erfordert auch                die zentrale Bedeutung der Menschenwürde bei der eine verstärkte internationale Zusammenarbeit. Um hier                  Gestaltung von KI hervorgehoben. Es bestand Einigkeit einen entsprechenden Rahmen zu schaffen und den                         darüber, dass die wesentlichen Grundsätze der Zweck- Gestaltungsprozess im Sinne einer positiven Technikent-                 bindung und der Datenminimierung gelten müssen und wicklung zu beeinflussen, bei der die Rechte und Inter-                 KI transparent, verständlich und erklärbar sein muss. essen des Individuums geschützt werden, engagiere ich                   Auf dieser Grundlage wurde vereinbart, auch künftig in mich aktiv in nationalen und internationalen Gremien,                   einer eigenen Arbeitsgruppe zum Thema KI die Entwick- die sich mit der KI-Entwicklung befassen.                               lung interoperabler Konzepte für die Regulierung über KI auf internationaler Ebene                                            alle Rechtsordnungen hinweg und vor dem Hintergrund eines menschenzentrierten Ansatzes zu fördern. Die Europäische Kommission hat im vergangenen Jahr den weltweit ersten Entwurf für einen Rechtsrahmen                      Ohne automatisierte, intelligente Analyse- und Ent- zur KI vorgelegt. Der umfassende Regulierungsentwurf                    scheidungssysteme kann die in einer digitalisierten soll die Entwicklung von KI fördern, ein hohes Schutz-                  Welt anfallende Menge an Daten kaum effizient genutzt niveau für öffentliche Interessen gewährleisten und                     werden. Es ist unsere Aufgabe, gemeinsam mit Politik, eine Vertrauensbasis für KI-Systeme schaffen. In einer                  Gesellschaft, Wissenschaft und Wirtschaft diese Nutzung Stellungnahme zum Regulierungsentwurf hat sich der                      von auf KI basierenden Systemen auf tragfähige Beine Europäische Datenschutzausschuss (EDSA) dafür ausge-                    zu stellen. Damit soll ein Gerüst geschaffen werden, das sprochen, dass der Einsatz von KI verboten wird, wenn                   einen mit demokratischen Grundsätzen zu vereinba- Persönlichkeit und Würde des Menschen nicht geachtet                    renden, rechtskonformen und gemeinwohlorientierten werden. Als Teil des Berichterstatter-Teams des EDSA                    Einsatz von KI ermöglicht. habe ich mich hier nachdrücklich für die herausragende Querverweise: Bedeutung des Datenschutzes bei der Gestaltung von KI eingesetzt (vgl. Nr. 4.2.1). Der EDSA wird im Jahr 2022                 3.4.1 G7, 4.2.1 KI-Regulierungsentwurf, 4.3 Interdiszipli- Richtlinien für den Einsatz von Gesichtserkennungstec                   närer Beirat Beschäftigtendatenschutz 40 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021