30. Tätigkeitsbericht zum Datenschutz und zur Informationsfreiheit

4.2.1 KI-Regulierungsentwurf Schutz der grundlegenden Menschenrechte wirksam ergänzt und gleichzeitig KI-Innovationen fördert. In seiner Stellungnahme zum Regulierungsentwurf der Europäischen Kommission unterstreicht der EDSA die Im vorgelegten Entwurf kommt der Aspekt KI im Ge- herausragende Bedeutung des Datenschutzes bei der sundheitswesen nur am Rande vor. Lediglich die Risiken Nutzung von KI. der Nutzung von KI für die Gesundheit werden häufig betont. Positive Wirkungen und Chancen der Nutzung Ich habe mich im EDSA und ganz besonders auch als Teil von KI im Gesundheitsbereich sollen in einem eigenen des Berichterstatter-Teams aktiv dafür stark gemacht, Rechtsakt zum europäischen Raum für Gesundheits- dass der Einsatz von KI verboten wird, wenn sie die Per- daten geregelt werden (vgl. Erwägungsgrund 45). Die sönlichkeit und Würde des Menschen nicht achtet oder Vorlage eines Entwurfs eines Rechtsaktes zum Euro- hohe Risiken für Leben und Gesundheit von Personen päischen Gesundheitsdatenraum war zunächst für den bestehen. Zudem habe ich mit Nachdruck die Forderung Herbst 2021 geplant, wurde dann aber auf das Frühjahr nach einem allgemeinen Verbot der Verwendung von KI 2022 verschoben. zur automatischen Erkennung von personenbezogenen Merkmalen in öffentlich zugänglichen Räumen unter- Es stellen sich grundlegende Fragen, die nur in einem stützt. Die Nutzung von KI darf nicht an den Grundfesten breiten gesellschaftlichen Dialog sinnvoll zu beantwor- unseres gesellschaftlichen Miteinanders rühren. ten sind. Außerdem muss das Zusammenspiel zwischen Mit dem Entwurf für einen Rechtsrahmen zur KI ver- der neuen KI-Verordnung und bestehendem Recht, folgt die Kommission einen risikobasierten Ansatz, der insbesondere der Datenschutz-Grundverordnung, sowie grundsätzlich auch vom EDSA in seiner Stellungnahme Fragen der Ausgestaltung von Aufsicht und Rechtsdurch- begrüßt wird. Für Anwendungen, die mit einem hohen setzung geklärt werden. Dafür werde ich mich auch Risiko einhergehen, werden bestimmte Qualitätsanfor- weiterhin einsetzen. derungen vorgesehen, z. B. Protokollierungs- und Doku- Querverweise: mentationsvorgaben, eine weitreichende Information der Nutzer, eine hohe Qualität der Datensätze oder auch 3.4.1 G7, 4.3 Interdisziplinärer Beirat Beschäftigten eine menschliche Aufsicht zur Minimierung der Risiken. datenschutz Der EDSA begrüßt diese Vorgaben, sieht in den Vorschlä- 4.2.2 KI-Konsultationsverfahren gen aber noch Veränderungsbedarf, den er im Rahmen der Stellungnahme deutlich macht. Der Einsatz von Künstlicher Intelligenz (KI) muss sich immer am Maßstab des Verfassungsrechts messen las- Besorgnis besteht etwa darüber, dass die internationale sen. Das Konsultationsverfahren zum Einsatz von KI im Zusammenarbeit auf dem Gebiet der Strafverfolgung Bereich der Strafverfolgung und Gefahrenabwehr soll nicht in den Anwendungsbereich des Vorschlags fällt. die Öffentlichkeit in die Meinungsbildung einbeziehen. Hinterfragt wird unter anderem auch die Tatsache, dass der Europäischen Kommission im Europäischen Im Bereich der Strafverfolgung und der Gefahrenabwehr Ausschuss für künstliche Intelligenz eine übergeordnete wird der Einsatz von KI erforscht, erprobt und teilweise Stellung eingeräumt werden soll. Aus unserer Sicht wird praktiziert. Die datenschutzrechtlichen und verfas- vielmehr eine europäische Stelle benötigt, die unabhän- sungsrechtlichen Vorgaben sind noch nicht geklärt. Sie gig von politischer Einflussnahme ist. Um die Unabhän- müssen deshalb konkretisiert werden. Der Einsatz von gigkeit des Ausschusses zu gewährleisten, sollte diesem KI kann sich auf die Arbeit der Sicherheitsbehörden und mehr Selbstständigkeit zuerkannt und es ihm ermöglicht die Freiheiten für die betroffenen Personen erheblich werden, von sich aus initiativ zu werden. 14 auswirken. Deshalb ist eine breite öffentliche Debatte notwendig. Ich habe daher ein Konsultationsverfahren Dass die Europäische Kommission die grundsätzliche zum Einsatz von KI im Bereich der Strafverfolgung und Beschäftigung mit einem Regulierungsrahmen auf Gefahrenabwehr eingeleitet. Folgende Thesen habe ich diesem Weg angestoßen hat, ist ein wichtiger Schritt. Es zur Diskussion gestellt: wird aber noch viel Arbeit notwendig sein, bis der Vor- schlag einen gut funktionierenden Rechtsrahmen her- →→ KI erfordert eine ausführliche empirische Bestands- vorbringt, der die geltenden Regeln zum Datenschutz, aufnahme und eine umfassende gesellschaftspoliti- wie etwa die Datenschutz-Grundverordnung, beim sche Diskussion, um einerseits die Auswirkungen 14 Die Stellungnahme ist abrufbar unter https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opini- on-52021-proposal_de. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 41

dieser Technologie auf die Freiheiten der Bürgerin- Digitalisierung in Betrieben und Verwaltungen führt zu nen und Bürger zu klären und andererseits die Erfor- tiefgreifenden Veränderungen der Arbeitswelt. Datenge- derlichkeit ihres Einsatzes zu Strafverfolgungs- und triebene Prozesse prägen mittlerweile den Arbeitsalltag Gefahrenabwehrzwecken festzustellen. Die Risiken vieler Beschäftigter. In Betrieben und Verwaltungen sind dem Nutzen umfassend gegenüberzustellen. entstehen immer mehr und immer detailliertere Daten- Mögliche Diskriminierungen und überindividuelle sätze. Verbunden mit den neuen Möglichkeiten der Da- Folgen sowohl für bestimmte Personengruppen als tenverknüpfung und –auswertung bietet dies einerseits auch für demokratische und rechtsstaatliche Abläufe Chancen für eine effizientere Gestaltung der Arbeits- insgesamt sind wirksam auszuschließen. Der Ge- organisation. Andererseits erhöht sich für Beschäftigte setzgeber soll alle derzeit existierenden Befugnisse zugleich das Risiko, ihre Privatsphäre bis hin zu einer der Strafverfolgungs- und Gefahrenabwehrbehörden totalen Überwachung einzubüßen. in eine Gesamtrechnung einbeziehen („Überwa- Der vom Bundesministerium für Arbeit und Soziales chungs-Gesamtrechnung“). im Sommer 2020 eingesetzte interdisziplinäre Beirat →→ Der Einsatz von KI kann nicht auf polizeiliche Ge- Beschäftigtendatenschutz (siehe 29. TB, Nr. 7.2), dem neralklauseln gestützt werden. Vielmehr erfordert auch ich angehöre, prüft u. a., inwieweit Regelungen für der Einsatz von KI grundsätzlich eine spezifische den Schutz der Rechte von Beschäftigten in der digitalen gesetzliche Regelung. Arbeitswelt notwendig sind. Die Kurzfassung des Bei- ratsberichts wurde dem Bundesminister für Arbeit und →→ Die Einhaltung der allgemeinen Datenschutzgrund- sätze ist eine unabdingbare Voraussetzung für den Soziales im Januar 2022 übergeben. datenschutzrechtlich zulässigen Einsatz von KI. Im Rahmen meiner Beiratstätigkeit habe ich mich dafür Der Einsatz von KI darf die effektive Ausübung der eingesetzt, dass beschäftigtendatenschutzrechtliche Re- Betroffenenrechte nicht schmälern. gelungen geschaffen werden. In vielen Konstellationen →→ KI muss erklärbar sein. Die Qualität der schon zu genügt die gegenwärtige Fassung des § 26 BDSG auf- Trainingszwecken eingesetzten Datensätze ist sicher- grund ihrer Interpretationsbedürftigkeit nicht, um einen zustellen. effektiven, rechtssicheren Schutz vor eingriffsintensiven Datenverarbeitungen in der digitalisierten Arbeitswelt →→ Der Kernbereich privater Lebensgestaltung bzw. die zu gewährleisten. Der Einsatz künstlicher Intelligenz in Menschenwürdegarantie dürfen beim Einsatz von KI Bewerbungsverfahren, das Beschäftigtenscreening oder nicht berührt werden. GPS-Tracking sind nur einige beispielhafte Aspekte für →→ KI muss durch Datenschutzaufsichtsbehörden um- die Herausforderungen bei der Digitalisierung der Ar- fassend kontrolliert werden können. beitswelt. Sie machen die Regelungslücken sichtbar und einen besseren Schutz der Beschäftigten wichtiger denn →→ Dem Einsatz von KI muss eine umfassende Daten- je. Rechtssicherheit für alle Beteiligten ist erforderlich. schutzfolgen-Abschätzung vorangehen. Daher braucht es ein Beschäftigtendatenschutzgesetz, Nach Auswertung der eingegangenen Stellungnahmen das spezifische Datenverarbeitungen im Beschäftigten- werde ich über die Ergebnisse berichten. kontext und Eckpunkte im Beschäftigungsverhältnis regelt. Dazu gehören beispielsweise ein Verbot der Totalüberwachung, Grenzen einer Verhaltens-und 4.3 Interdisziplinärer Beirat Leistungskontrolle, Hinweise zu Beweisverwertungsver- Beschäftigtendatenschutz boten sowie der Einsatz neuer Technologien, insbeson- dere algorithmische Systeme. Wichtig sind neben einer Ein Beschäftigtendatenschutzgesetz ist dringend not- starken Datenschutzaufsicht auch Instrumente individu- wendig! ellen Schutzes, z. B. hinsichtlich der Durchsetzung der Betroffenenrechte sowie des kollektiven Schutzes. Bereits in meinem letzten Tätigkeitsbericht (s. 29. TB, Nr. 2.3; 7.2) habe ich dem Gesetzgeber empfohlen, von Ich begrüße, dass der Koalitionsvertrag 2021 ein der in der DSGVO eingeräumten Möglichkeit zeitnah Bekenntnis zur Schaffung von Regelungen zum Be- Gebrauch zu machen, nationale Regelungen zum Be- schäftigtendatenschutz enthält, um Rechtsklarheit für schäftigtendatenschutz zu erlassen. Seit vielen Jahren Arbeitgeber sowie Beschäftigte zu erreichen und die Per- fordern die Datenschutzaufsichtsbehörden von Bund sönlichkeitsrechte effektiv zu schützen und hoffe sehr, und Ländern ein Beschäftigtendatenschutzgesetz. Heute dass diese Chance in der 20. Legislaturperiode endlich ist dies umso dringender: Die rasant fortschreitende ergriffen wird. 42 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

5 Gesetzgebung 5.1 Telekommunikationsgesetz Beispiel einen SMS-Dienst oder einen Messenger-Dienst gebung TKG/TTDSG verwenden würde. Die neue Definition findet sich nun in § 3 Nr. 61 TKG: „Telekommunikationsdienste [sind] in Nach langer Wartezeit gibt es seit Dezember 2021 das der Regel gegen Entgelt über Telekommunikationsnetze Telekommunikationsmodernisierungsgesetz. Zeitgleich erbrachte Dienste, die – mit der Ausnahme von Diens- werden andere Gesetze im Telekommunikationsbereich ten, die Inhalte über Telekommunikationsnetze und an das europäische Recht angepasst. -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben – folgende Dienste umfassen: In meinem letzten Tätigkeitsbericht (Nr. 5.10) konnte ich bereits über einen ersten Gesetzesentwurf berichten. →→ Internetzugangsdienste, (§ 3 Nr. 23 TKG) Das neue Telekommunikationsgesetz wurde im Rah- →→ interpersonelle Telekommunikationsdienste (im men des Telekommunikationsmodernisierungsgesetzes Sinne des § 3 Nr. 24 TKG) und (TKMoG) überarbeitet und trat am 1. Dezember 2021 zeitgleich mit dem Telekommunikation-Telemedien-Da- →→ Dienste, die überwiegend in der Übertragung von Signalen bestehen wie Übertragungsdienste, die für tenschutz-Gesetz (TTDSG) in Kraft. Hierbei werden die Maschine-Maschine-Kommunikation und für den bisherigen Datenschutzvorschriften aus dem neuen TKG Rundfunk genutzt werden;“ ausgeklammert und in das TTDSG überführt. Die No- velle dient zugleich der Umsetzung der Richtlinie (EU) Insbesondere durch den Begriff des interpersonellen 2018/1972 über den europäischen Kodex für die elektro- Telekommunikationsdienstes werden daher in Zukunft nische Kommunikation. neben der Internettelefonie sogenannten Over-the-Top- Dienste, wie Messenger-Dienste und Gruppenchats, Der Begriff des Telekommunikationsdienstes wird sowie auch webgestützte E-Mail-Dienste und Videokon- hierbei deutlich erweitert und umfasst nun auch Mes- ferenzdienste als Telekommunikationsdienst definiert. senger-Dienste, E-Mail-Dienste und Videokonferenz- dienste. Daher ergibt sich hier grundsätzlich seit dem Im Laufe der Ressortabstimmung zum TKMoG habe ich 1. Dezember 2021 eine einheitliche Zuständigkeit des durch zahlreiche Stellungnahmen auf die datenschutz- BfDI auf nationaler Ebene sowohl für Verstöße gegen rechtlichen Defizite des Gesetzesentwurfs hingewiesen. die Datenschutz-Grundverordnung (DSGVO) als auch bei Einige noch weitgehendere Vorstöße zur Erhebung und der Verletzung des Schutzes von Verkehrsdaten (vgl. im Weiterleitung von personenbezogenen Daten durch die Einzelnen §§ 29, 30 TTDSG). TK-Anbieter an Sicherheitsbehörden konnten dadurch verhindert werden. Dennoch enthält das Gesetz noch Bislang war der Begriff des Telekommunikationsdienstes zahlreiche kritisch zu beurteilende Regelungen, von in § 3 Nr. 24 TKG (alte Fassung) definiert als „in der Regel denen ich beispielhaft zwei herausgreifen möchte. gegen Entgelt erbrachte Dienste, die ganz oder überwie- gend in der Übertragung von Signalen über Telekommu- In § 172 Abs. 3 TKG ist festgelegt, dass nummernunab- nikationsnetze bestehen, einschließlich Übertragungs- hängige Dienste die Kennung des Dienstes, den Namen, dienste in Rundfunknetzen“ (sogenannter technischer die Anschrift, das Geburtsdatum sowie das Datum der Ansatz). Sowohl der Verordnungsgeber auf europäischer Vergabe der Kennung speichern müssen, soweit sie Ebene als auch der deutsche Gesetzgeber gehen nun von diese Daten erheben. Ursprünglich war sogar eine einem funktionalen Ansatz aus, da es aus der Sicht des Erhebungspflicht für noch weitere Daten geplant. Eine Endnutzers keinen Unterschied mache, ob dieser zum allgemeine Erhebungspflicht für Identifikationsdaten, Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 43

wie sie in § 111 Abs. 1 TKG (alte Fassung) angelegt war, Diese folgt nicht automatisch aufgrund Änderungen von hätte jedoch die grundsätzlich anonyme Nutzbarkeit ent- Vorschriften zur Marktregulierung oder zur Sicherstel- sprechender Dienste konterkariert. Eine entsprechen- lung der Grundversorgung. Erweiterungen der Befugnis- de Erhebungspflicht erschien trotz des angestrebten se müssen im Rahmen des Gesetzgebungsprozesses im sicherheitspolitischen Zwecks unverhältnismäßig und Einzelnen begründet werden. Dazu sind entsprechende wurde von mir abgelehnt. Daher habe ich für eine mit Sachverhalte und Erkenntnisquellen darzustellen (vgl. § der zuvor geltenden Regelung des § 111 Abs. 2 TKG (alte 43 Abs. 1 Nr. 1 und 2 Gemeinsame Geschäftsordnung der Fassung) vergleichbare Norm plädiert, die für elektro- Bundesministerien). Dies ist vorliegend beim neuen TKG nische Post gilt. Diese sieht zwar eine Speicherpflicht aber nicht geschehen. für einzelne erhobene Daten, aber keine zusätzliche Als ein weiteres Beispiel weise ich auf die Regelung des Erhebungspflicht vor. Dennoch ist durch die Speicher- § 170 Abs. 11 TKG (neue Fassung) hin: Diese Vorschrift pflicht zum Beispiel des Geburtsdatums ein zusätzliches sieht vor, dass die Betreiber von elektronischen Kom- Datum eingeführt worden, durch das die anonyme munikationsdiensten sicherstellen müssen, dass eine Nutzbarkeit der Dienste zumindest eingeschränkt wird. durch einen anderen europäischen Betreiber veranlasste Gerade für bestimmte Berufsgruppen, wie Anwältinnen Verschlüsselung zu dessen Nutzern aufgehoben wird. und Anwälte oder Journalistinnen und Journalisten, ist Erfasst wären somit die verschlüsselten Gespräche. Zu die anonyme Nutzbarkeit moderner Kommunikations- beachten ist zunächst, dass keinesfalls über die Anfor- mittel wie E-Mail und Messenger-Dienste ein wichtiger derung aus § 8 Abs. 3 TKÜV hinausgegangen werden Bestandteil ihrer täglichen Arbeit. Die Erweiterung der darf. Wenn ein verschlüsseltes Gespräch unverschlüsselt gesetzlichen Regelung in § 172 Abs. 3 TKG folgt hier- ausgeleitet werden muss, bedeutet dies automatisch bei nicht etwa – wie man meinen könnte – aus dem eine Schwächung der Verschlüsselung. Dies bedingt eine Kodex für elektronische Kommunikation, der mit der Verschlechterung der Datensicherheit. Verschlüsselung Gesetzesnovelle in nationales Recht umgesetzt wur- ist die Basis für den Schutz der Privatsphäre eines jeden de, sondern folgt allein den Änderungswünschen des Einzelnen und fast jeder wirtschaftlichen Betätigung deutschen Gesetzgebers. Dies sehe ich unter einem in der digitalen Welt. Zur Stärkung des Brief-, Post- und weiteren Gesichtspunkt kritisch: Die Übernahme von Fernmeldegeheimnisses und des Grundrechts auf Ge- und die Anpassung an Begrifflichkeiten, wie sie etwa in währleistung der Vertraulichkeit und Integrität infor- der Richtlinie (EU) 2018/1972 oder sonst in Bezug auf die mationstechnischer Systeme ist es erforderlich, Daten anderen Teile des TKG vorgesehen sind, ist kein Automa- wirkungsvoll vor Zugriffen Unberechtigter schützen zu tismus. Diese Begrifflichkeiten dienen im Wesentlichen können. Der Einsatz von Kryptographie ist hierbei ein anderen Zielsetzungen, wie etwa der Marktregulierung, ganz elementares Instrument. Ich bewerte jede Form der Frequenzpolitik, dem Schutz der Endnutzenden, der Senkung des Schutzniveaus kritisch, insbesondere dem institutionellen Gefüge oder einer Grundversor- des Kryptoniveaus. Zudem ist zu erwarten, dass es bei gung mit Telekommunikationsdiensten. Hiervon zu den zwischen den Unternehmen zu treffenden Verein- unterscheiden ist die Erweiterung der Befugnisse der barungen im Gegenzug dazu kommen wird, dass auch Sicherheitsbehörden z. B. hinsichtlich des Zugriffsrechts die ausländischen Unternehmen verlangen werden, auf Daten im Rahmen der Auskunftsverfahren nach dass ihnen ein Abhören deutscher Staatsbürgerinnen § 173 und § 174 TKG, etwa durch eine Ausweitung des und Staatsbürger während eines Auslandsaufenthalts Kreises der verpflichteten Telekommunikationsanbieter. ermöglicht wird. 44 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Auch das „Telekommunikation-Telemedien-Daten- erweiterten Kreis von Interessenvertretern stellt das schutz-Gesetz“ (TTDSG) ist zum 1. Dezember 2021 in neue Gesetz nunmehr bindende Grundsätze für eine Kraft getreten. Dieses enthält die Datenschutzvorschrif- integre Interessenvertretung auf. ten, die vormals im TKG zu finden waren sowie Regelun- Die 37. Konferenz der Informationsfreiheitsbeauftrag- gen zu Telemedien aus dem Telemediengesetz (TMG). ten in Deutschland hatte am 12. Juni 2019 unter meiner Erfreulich ist, dass der Gesetzgeber meine Forderung Mitwirkung eine Entschließung zur Einrichtung von zu Cookies umgesetzt hat. Der neue § 25 TTDSG setzt verpflichtenden Lobbyregistern verabschiedet. Diese die ePrivacy-Richtlinie endlich richtlinienkonform um, grundsätzliche Forderung wurde mit dem Gesetz nun- da das Erfordernis einer Einwilligung als Regelfall im mehr erfüllt. Bestrebungen hinsichtlich weitergehender Gesetz normiert ist. Auch bei meinen Zuständigkeiten Regelungen verfolge ich mit Interesse. wurde mehr Klarheit geschaffen. Leider gibt es auch einige Mängel im Gesetz. Dies passiert, wenn ein Ge- setzgebungsverfahren „in letzter Minute“ vor Ende der Legislaturperiode kommt. So werden einige Definitionen 5.3 Open-Data-Gesetz wie „Teilnehmer“ oder „Nutzer“ nicht durchgängig ver- Mit der Verabschiedung des 2. Open-Data-Gesetzes wendet und einzelne Querverweise im Gesetz sind feh- wurde der Anwendungsbereich der Open-Data Rege- lerhaft. Ich habe in meinen Stellungnahmen gegenüber lungen des E-Government-Gesetzes sowohl hinsichtlich dem federführenden Ministerium und dem Parlament der zur Veröffentlichung verpflichteten Stellen, als auch mehrfach auf diese Fehler hingewiesen – in manchen hinsichtlich der zu veröffentlichenden Daten erweitert. Fällen leider vergeblich. Nun musste kurz nach Verkün- Änderungen bei der Bereitstellung offener Daten dung des Gesetzes ein Berichtigungsverfahren folgen. Ziel der Regelungen des Gesetzes zur Änderung des Neu eingeführt werden „Anerkannte Dienste zur Einwil- E-Government-Gesetzes und zur Einführung des Geset- ligungsverwaltung“. Hiermit sollen Internetnutzende zes für die Nutzung von Daten des öffentlichen Sektors ihre Einwilligungen z. B. bei Cookies nutzerfreundlich (sog. „2. Open-Data-Gesetz“) ist es, den Umfang der von verwalten können. Das TTDSG setzt hierfür nur einen der Bundesverwaltung bereitgestellten offenen Daten zu sehr groben Rahmen. Die Details müssen noch in einer erweitern. Der Anwendungsbereich des § 12a E-Govern- Rechtsverordnung festgelegt werden. Erst dann wird ment-Gesetzes (EGovG) wurde deshalb auf alle Behörden sich zeigen, ob dies einen Beitrag zur Eindämmung der des Bundes mit Ausnahme der Selbstverwaltungskörper- „Cookie-Banner“ leisten kann. schaften erstreckt. Die Bundesbehörden sind grund- sätzlich verpflichtet, unbearbeitete maschinenlesbare 5.2 Lobbyregistergesetz Daten, die sie zur Erfüllung ihrer öffentlich-rechtlichen Aufgaben erhoben haben, in maschinenlesbarer Form Das Lobbyregistergesetz soll ab 2022 mehr Transparenz zur Verfügung zu stellen. Eine weitere Neuerung stellt über die Interessenvertretung bei Bundestag und Regie- die Verpflichtung der Bundesbehörden dar, eine Stelle rung bringen. zu schaffen, die intern die Identifizierung und Bereit- stellung offener Daten koordiniert. Schließlich sind Das Gesetz zur Einführung eines Lobbyregisters für nunmehr auch Forschungsdaten grundsätzlich von der die Interessenvertretung gegenüber dem Deutschen Bereitstellungspflicht erfasst. Bundestag und gegenüber der Bundesregierung vom 16. April 2021 (Lobbyregistergesetz – LobbyRG) tritt am 1. § 12a EGovG sieht indes weiterhin umfangreiche Aus- Januar 2022 in Kraft. Entgegen erster Entwürfe gilt das nahme von diesen Regelungen vor. So besteht u. a. für Gesetz nicht nur für die Interessenvertretung gegenüber Hauptzollämter oder vergleichbare örtliche Bundesbe- dem Deutschen Bundestag, sondern auch gegenüber der hörden und die Geheimdienste keine Verpflichtung, eine Bundesregierung. koordinierende Stelle einzurichten. Ferner sind Beliehe- ne nicht vom Anwendungsbereich der Bereitstellungs- Das Gesetz bedeutet einen Fortschritt für die Informa- pflicht erfasst. tionsfreiheit. Die bisherigen Transparenzregelungen des Deutschen Bundestages bezogen sich lediglich auf Zu meinem Bedauern wurden die Ausnahmen in § 12a Interessenverbände und stellten keine verbindlichen EGovG noch erweitert, die Daten von der Bereitstel- Regelungen auf. Auch die Regelungen zum Informati- lungspflicht ausnehmen. Im Ergebnis stellen die Aus- onszugang auf Bundesebene, wie das Informationsfrei- nahmen einen vertretbaren Kompromiss zwischen dem heitsgesetz (IFG) oder das Umweltinformationsgesetz Interesse an der möglichst weitgehenden Bereitstellung (UIG), sparen den originär parlamentarischen Bereich offener Daten und dem Schutz insbesondere personen- bisher aus. Neben einer Registrierungspflicht für einen bezogener oder personenbeziehbarer Daten dar. Es Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 45

bleibt abzuwarten, ob die neuen Regelungen auch mit bene Wirtschaftswachstum umfasse beispielsweise die „Leben gefüllt“ werden, und eine aktive und breite Be- Entwicklung von Apps und anderer datenbasierter und reitstellung offener Daten erfolgen wird. Die im Gesetz anwenderbezogener Lösungen. Die Open-Data-Strategie vorgesehene Evaluierung sollte zum Anlass genommen erwartet hier ein großes Potential für wirtschaftliches werden, sich einen klaren Überblick über die Umset- Wachstum und die Schaffung von Arbeitsplätzen. Die zung des Gesetzes zu verschaffen. Insbesondere sollte Nutzung offener Daten stelle ferner eine Möglichkeit für ggf. die Einführung von Sanktionsmöglichkeiten geprüft zivilgesellschaftliche und ökologische Initiativen dar, werden, um die Verpflichtung zur Datenbereitstellung technische Lösungen für bislang nicht berücksichtigte nachdrücklich zu betonen oder es sollte ein Anspruch Belange zu finden. Nicht zuletzt seien Effizienzgewinne auf die Bereitstellung der Daten gesetzlich geregelt in der Verwaltung zu erwarten. Der Datenaustausch re- werden. duziere bspw. Suchaufwand und lasse mögliche Mehrfa- cherhebungen entfallen. Auch die Entwicklung digitaler Mit dem Gesetz wurde ferner die neugefasste Richtlinie Verwaltungsdienstleistungen könne sich vorteilhaft auf (EU) 2019/1024 (PSI-Richtlinie) umgesetzt. Das Infor- die Steuerlast der Bürgerinnen und Bürger auswirken. mationsweiterverwendungsgesetz (IWG) wurde dabei durch das Datennutzungsgesetz (DNG) ersetzt. Das DNG Abschließend werden konkrete Maßnahmen aufgelistet, gilt auch für Länder und Kommunen sowie bestimmte die drei Handlungsfeldern zugeordnet werden. Teilweise öffentliche Unternehmen der Daseinsvorsorge. Es regelt wurden diese Maßnahmen bereits umgesetzt (u. a. Än- die Weiterverwendung von auf der Grundlage anderer derungen des § 12a E-Government-Gesetz, siehe Nr. 5.2.) gesetzlicher Regelungen bereitgestellten öffentlichen oder sind derzeit in der Umsetzung (z. B. der Aufbau des Daten. Kompetenzzentrums Open Data (CCOD) beim Bundes- verwaltungsamt). 5.3.1 Open-Data-Strategie der Bundesregierung Ich begrüße die Vorhaben und Initiativen der Open-Da- Die Bundesregierung hat mit ihrer Open-Data-Strate- ta-Strategie und hoffe, dass das Konzept „open by gie erstmals Leitlinien für die proaktive Bereitstellung default“ bei mehr und mehr Behörden zur Selbstver- von Verwaltungsdaten definiert. Positiv ist neben der ständlichkeit wird. Initiative selbst das ausdrückliche Bekenntnis zum Es freut mich, dass der Aspekt des Datenschutzes aus- Datenschutz. drücklich in die Leitlinien aufgenommen wurde. Daten- Die Open-Data-Strategie der Bundesregierung soll den schutz und Open-Data schließen sich nicht aus, sondern Rahmen für eine Verbesserung des „Open-Data-Ökosys- ergänzen sich. Ein falsch verstandener Datenschutz tems“ des Bundes schaffen. Die Bereitstellung offener sollte nicht dazu verleiten, die Bereitstellung offener Daten wird als wichtiges Element für offenes Regie- Daten vorsorglich zu beschneiden. Datenschutz ist keine rungshandeln beschrieben, das geeignet sei, das Ver- Ausrede für mangelnde Offenheit. trauen in die politischen Institutionen zu stärken. Der Eine Ausweitung der Bereitstellung offener Daten, insbe- Datenbestand der Bundesbehörden solle weiter geöffnet sondere auch über technische Schnittstellen (API), sollte und entgeltfrei zur freien Nutzung zu Verfügung gestellt, weiter vorangetrieben werden. Wie in der Open-Da- der Umfang und die Qualität der bereitgestellten Daten ta-Strategie vorgesehen, könnte auch hier der Austausch ferner erhöht werden. Schließlich ziele die Open-Da- mit zivilgesellschaftlichen Initiativen, die schon gezeigt ta-Strategie auch darauf, eine Bereitstellung offener Da- haben, welche Ergebnisse mit einfachen Mitteln zu ten durch Wirtschaft, Wissenschaft und Zivilgesellschaft erreichen sind, sinnvolle Anregungen ergeben. zu fördern. In der Open-Data-Strategie werden sechs Leitlinien formuliert, an denen sich die Maßnahmen zur Bereit- stellung und Nutzung offener Daten orientieren sollen. Dabei wird u. a. die Realisierung des wirtschaftlichen Potentials offener Daten, die Verbesserung der Daten- kompetenz in der Verwaltung und der Bereitstellung offener Daten sowie eine verantwortungsvolle und gemeinwohlorientierte Nutzung der Daten unter Beach- tung von Datenschutz und Datensouveränität betont. In drei hervorgehobenen Bereichen werden beispielhaft Anwendungsmöglichkeiten dargestellt. Das datengetrie 46 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

5.4 Änderungen am Ausländer geändert hat. Wie die praktische Umsetzung im Bereich zentralregistergesetz der Bundesbehörden erfolgt, werde ich bei künftigen Kontrollen in den Blick nehmen. Mit dem Gesetz zur Weiterentwicklung des Auslän- derzentralregisters soll das Ausländerzentralregister (AZR) zum zentralen Ausländerdateisystem ausgebaut 5.5 Bundespolizeigesetz werden. Die Daten für ausländerrechtliche Fachver- Das Bundespolizeigesetz (BPolG) wurde nach wie vor fahren sollen aktuell und synchron gehalten sowie nicht an die zwingenden europarechtlichen Vorgaben den befassten Behörden digital zur Verfügung gestellt der JI-Richtlinie angepasst. Ein Entwurf der damaligen werden. Doppelte Datenspeicherungen sollen damit Regierungsfraktionen im Deutschen Bundestag, der künftig vermieden werden. dem Europarecht allenfalls in Teilen Rechnung getra- Speicherung von Dokumenten im Volltext gen, gleichzeitig aber verfassungsrechtlich problema- tische neue Eingriffsbefugnisse für die Bundespolizei Mit dem Gesetz zur Weiterentwicklung des Ausländer- geschaffen hätte, scheiterte im Bundesrat. zentralregisters besteht künftig die Möglichkeit, Do- kumente im Volltext im AZR abzuspeichern, wie etwa Bereits in meinem 29. Tätigkeitsbericht habe ich darüber asyl- und aufenthaltsrechtliche Entscheidungen sowie berichtet, dass die zwingenden europarechtlichen Vorga- ausländische Identitätspapiere. Eine Speicherung darf ben beim BPolG noch nicht umgesetzt wurden, obwohl jedoch nur erfolgen, soweit keine besonderen gesetz- dies bis zum 6. Mai 2018 hätte erfolgen müssen (vgl. 29. lichen Verarbeitungsregelungen oder überwiegende TB Nr. 6.7). Die damaligen Regierungsfraktionen haben schutzwürdige Interessen der ausländischen Person dann im letzten Jahr einen eigenen Änderungsentwurf entgegenstehen. Im Rahmen meiner Beteiligung im im Bundestag eingebracht. Bei dieser Initiative aus der Gesetzgebungsverfahren habe ich mich kritisch zu der Mitte des Parlaments, die auf Formulierungshilfen aus Volltextspeicherung ohne entsprechende technisch-or- der Bundesregierung beruhte, fand zuvor keine formale ganisatorische Sicherungsmaßnahmen geäußert (s. Ressortbefassung im Kreis der Bundesregierung statt, in meine Stellungnahme an den Innenausschuss des die ich eingebunden worden wäre. Meine datenschutz- Deutschen Bundestages vom 30. April 2021, www.bfdi. rechtlichen Bedenken konnte ich daher erst spät bei der bund.de/stellungnahmen). Es hätten Regelungen zur Zu- Anhörung des Gesetzentwurfs gegenüber dem Aus- griffsberechtigung und Beschränkungen des Zugriffs auf schuss für Inneres und Heimat einbringen. den Volltext getroffen werden können. Als Reaktion auf Dem Ausschuss gegenüber habe ich deutlich gemacht, meine Kritik hat der Gesetzgeber folgende Lösung favor- dass ich die Erweiterung der Befugnisse der Bundespo- isiert: Erkenntnisse aus dem Kernbereich persönlicher lizei für verfassungsrechtlich bedenklich halte, weil es Lebensgestaltung sind nunmehr in den Dokumenten un- sich bei der Bundespolizei um eine Sonderpolizei mit kenntlich zu machen. Es wird für mich aufwendig sein begrenztem Aufgabenspektrum für Bahnhöfe, Flughäfen zu kontrollieren, ob die entsprechenden Schwärzungen und die Landesgrenzen handelt; im Übrigen liegt die Zu- auch in angemessener Weise vorgenommen werden. ständigkeit bei den Ländern. Auch die im Entwurf vorge- Speicherung ausländischer Personenidentitäts sehene Ermächtigung zur präventiven Überwachung der nummer Telekommunikation und vor allem die Möglichkeit einer sog. „Quellen-TKÜ“ halte ich für sehr problematisch. Für Entgegen meiner Kritik ist im Gesetz die Speicherung Letztere müssten gezielt offengehaltene Sicherheitslü- ausländischer Personenidentitätsnummern aufgenom- cken ausgenutzt werden, was im Ergebnis das Sicher- men worden. Bei diesen handelt es sich um lebens- heitsniveau für digitale Kommunikation senkt. länglich unveränderliche Personenkennzeichen, die in vielen Staaten vergeben werden. Das Erfordernis Die europarechtlichen Vorgaben zu den Aufsichtsbe- dieses Speicherdatums im AZR ist meiner Auffassung fugnissen der Datenschutzbehörden wurden überdies nach nicht überzeugend begründet worden. Es erfolgte im Entwurf nur zum Teil umgesetzt. Damit wären mir im Laufe des Gesetzgebungsprozesses zumindest eine unnötige Hürden für die Ausübung meiner Datenschutz- Klarstellung, dass die von der Registerbehörde übermit- kontrolle auferlegt worden. telte ausländische Personenidentifikationsnummer nur Da der Entwurf letztlich im Bundesrat am Votum der zum Zweck der eindeutigen Identifizierung einer Person Länder gescheitert ist, bleibt abzuwarten, wie das BPolG genutzt werden darf. in der neuen Legislaturperiode überarbeitet wird. Ich freue mich darüber, dass der Gesetzgeber einige meiner Hinweise aufgegriffen und den Gesetzentwurf ab Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 47

5.6 Änderungen am BND-Gesetz gerückt. Ein von mir befürworteter inhaltsbezogener treten in Kraft Austausch jedenfalls zwischen der G10-Kommission, dem Unabhängigen Kontrollrat und meiner Behörde An den ursprünglichen Vorschlägen der Bundesregie- wurde nicht vorgesehen. rung zur Umsetzung verfassungsgerichtlicher Vorgaben Trotz einiger Anpassungen bleibt meine Kritik, die ich im BND-Gesetz haben die Koalitionsfraktionen im Lau- im Lauf des BND-Gesetzgebungsverfahrens geäußert fe des parlamentarischen Beratungsverfahrens schlus- habe, weitestgehend bestehen. Hierzu verweise ich auf sendlich nur marginale Änderungen vorgenommen. Das im Großteil zum 1. Januar 2022 in Kraft tretende meine öffentlich zugängliche Stellungnahme an den Gesetz bringt somit allenfalls strukturelle Anpassungen Ausschuss für Inneres und Heimat des Deutschen Bun- in der Kontrolllandschaft über den Bundesnachrichten- destages zum Gesetzentwurf der Bundesregierung zur dienst. Änderung des BND-Gesetzes vom 18. Dezember 2020, s. www.bfdi.bund.de/stellungnahmen Der Bundestag hat am 25. März 2021 Gesetzesänderun- gen am bestehenden BND-Gesetz mit der Zielrichtung der Umsetzung der Vorgaben des Bundesverfassungs- 5.7 Evaluierung des BDSG gerichts vom 19. Mai 2020 (Az. 1 BvR 2835/17) sowie des Bundesverwaltungsgerichts vom 13. Dezember 2017 (Az. Die Stellungnahme der DSK zur vom BMI durchgeführ- BVerwG 6 A 6.16 und 6 A 7.16) beschlossen. Bereits am ten Evaluierung des Bundesdatenschutzgesetzes (BDSG) 26. März 2021 hat der Bundesrat das Gesetz gebilligt. hat punktuellen gesetzgeberischen Handlungsbedarf Die ersten Vorschriften insbesondere zum Unabhängi- aufgezeigt. Dies gilt etwa für die Regelung zum Be- gen Kontrollrat sind bereits zum 22. April 2021 in Kraft schäftigtendatenschutz und zu den Durchsetzungsbe- getreten. Die weiteren Vorschriften treten zum 1. Januar fugnissen des BfDI sowohl im Anwendungsbereich der 2022 in Kraft. DSGVO, als auch im Anwendungsbereich der JI-Richtli- nie sowie gegenüber den Geheimdiensten. Mit Änderungsantrag der Fraktionen CDU/CSU und SPD, der nach der Sachverständigenanhörung im Innenaus- Das BMI führte im Berichtszeitraum entsprechend des schuss vorgelegt wurde, gab es im Ergebnis lediglich Auftrags aus der Gesetzbegründung eine Evaluierung einige wenige materiell-rechtliche Änderungen am des Gesetzes zur Anpassung des Datenschutzrechts an BND-Gesetz. Hervorzuheben sind die leichte Erhöhung die Verordnung (EU) 2016/679 und zur Umsetzung der der Eingriffsschwellen für die gezielte Erhebung von Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und Daten aus Vertraulichkeitsbeziehungen im Wege der Umsetzungsgesetz EU – DSAnpUG-EU2) durch. Kern- strategischen Ausland-Fernmeldeaufklärung und des stück dieses Gesetzes ist das neue, an die europarechtli- Eingriffs in informationstechnische Systeme. Danach chen Vorgaben aus DSGVO und JI-Richtlinie angepasste ist nun ein Eingriff in jene Vertraulichkeitsbeziehungen BDSG. möglich, wenn Tatsachen die Annahme eines Verdachts rechtfertigen, dass gewisse Straftaten oder Gefahren Zwar ergeben sich die wesentlichen datenschutzrecht- vorliegen. Ergänzend wurde eine Dokumentationspflicht lichen Regelungen im Anwendungsbereich der DSGVO über die Feststellung der Zugehörigkeit von Personen unmittelbar und EU-weit einheitlich aus dieser Verord- zum geschützten Personenkreis von Vertraulichkeits- nung. Das BDSG enthält aber Präzisierungen bzw. Modi- beziehungen vorgesehen. Zu diesem Kreis zählen laut fikationen, die sich auf Öffnungsklauseln in der DSGVO BND-Gesetz Geistliche, Verteidiger, Rechtsanwälte und stützen. Im Bereich Polizei und Justiz dient das BDSG Journalisten, deren Vertraulichkeitsbeziehung dem der Umsetzung der entsprechenden Richtlinie (JI-Richt- Schutz des § 53 Abs. 1 S. 1 Nr. 1, 2, 3 und 5 sowie S. 2 der linie). Auch hier ergeben sich die wesentlichen materi- Strafprozessordnung unterfallen würde. ellen Regelungen aus der europarechtlichen Grundlage, die allerdings nur eine Mindestharmonisierung vorsieht. Im Übrigen bleibt es bei strukturellen Anpassungen in der Kontrolllandschaft über den Bundesnachrichten- Die deutschen Aufsichtsbehörden wurden vom BMI im dienst. Das Parlamentarische Kontrollgremium wurde Rahmen der Evaluierung des BDSG beteiligt und haben durch den Änderungsantrag in das Zentrum verschiede- eine umfangreiche Stellungnahme abgegeben15. Einige ner Informationsflüsse zwischen den Kontrollorganen wesentliche Punkte der DSK-Stellungnahme sind: 15 Stellungnahme der DSK zur Evaluierung des BDSG vom 02.03.21, abrufbar unter https://www.datenschutzkonferenz-online.de/stellungnahmen.html 48 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

→→ Das BDSG zeigt sich hinsichtlich der Rechtsgrundla- auch für den nachrichtendienstlichen Bereich aus gen für die Verarbeitung sowie die Weiterverarbei- den genannten Gründen schon seit längerer Zeit Ab- tung personenbezogener Daten und der Vorschrift hilfe- und Sanktionsbefugnisse vergleichbar denen des § 29 BDSG über die Rechte der betroffenen der DSGVO bzw. der JI-RL (vgl. 27.TB Nr. 1.2.1). Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten als teilweise unions- In einer ergänzenden Stellungnahme habe ich mich zu- rechtswidrig (§ 4 Abs. 1 S. 1 Nr. 3, § 23 Abs. 1 Nr. 2 dem dafür ausgesprochen, im Gesetzestext zu § 18 BDSG und § 29 Abs. 3 S. 1 BDSG) und in weiten Teilen als klarzustellen, dass es eines gemeinsamen Standpunkts wenig normenklar und zu unbestimmt. der deutschen Aufsichtsbehörden in europäischen Angelegenheiten bereits im Kooperationsverfahren →→ § 26 BDSG wird in seiner aktuellen Fassung seiner (Art. 60 ff DSGVO) und nicht erst im Kohärenzverfahren Aufgabe im Beschäftigtendatenschutz nicht gerecht. (Art. 63 ff.) bedarf. Die deutschen Aufsichtsbehörden In der Praxis resultieren aus dem weiten Interpreta- sollten auf europäischer Ebene immer mit einer Stimme tionsspielraum für alle Beteiligten Unklarheiten. Um sprechen, um europäische Meinungsbildungsprozesse den besonderen Herausforderungen des Schutzes zu beschleunigen und deutsche Positionen dort besser der datenschutzrechtlichen Grundrechtsposition vertreten zu können. Dies wird von einem Teil der Auf- im Beschäftigtendatenschutz gerecht zu werden, sichtsbehörden der Länder anders gesehen. müssten diese normenklarer geregelt werden (vgl. oben 4.3). Das BMI hat seinen Bericht zur Evaluierung des BDSG im Oktober 2021 veröffentlicht.16 Dabei werden die Aus- →→ Die Anhebung des Schwellenwerts in § 38 Abs. 1 führungen der deutschen Aufsichtsbehörden umfäng- BDSG zur Benennung von Datenschutzbeauftragten lich erwähnt, in den Schlussfolgerungen aber leider nur auf 20 Beschäftigte hat weder eine Entbürokrati- teilweise aufgegriffen. Ich werde mich in der begonne- sierung, noch eine sonstige Entlastung von Unter- nen Legislaturperiode weiter für die oben dargestellten nehmen und Vereinen erreicht. Es traten vielmehr Änderungen im BDSG einsetzen. gegenteilige Effekte ein (vgl. 28. TB Nr. 5.1). →→ Mit einigen Einschränkungen der Betroffenenrechte Ich empfehle der Bundesregierung, die im Koalitions- in den §§ 32 bis 37 wird das BDSG den europarecht- vertrag angekündigte Institutionalisierung der DSK und lichen Vorgaben nicht gerecht und stellt bestehende die verbesserte verbindliche Kooperation der deut- datenschutzrechtliche Standards in Frage. Die Rechte schen Datenschutzaufsichtsbehörden durch die ent- der betroffenen Personen (Information, Auskunft, sprechenden gesetzgeberischen Maßnahmen alsbald in Löschung, Widerspruch, automatisierte Einzelent- Angriff zu nehmen. scheidung/Profiling) werden in unzulässigem Maße eingeschränkt. →→ Es ist dringend erforderlich, die aufsichtsbehörd- lichen Befugnisse im BDSG zu erweitern, indem gegenüber öffentlichen Stellen die Durchsetzung von Maßnahmen mit Zwangsmitteln sowie die Anord- nung der sofortigen Vollziehung ermöglicht wird. →→ Auch bleibt der BfDI im Bereich der JI-RL sowie außerhalb des Geltungsbereichs des EU-Rechts auf das Instrument der Warnung und der Beanstandung beschränkt, jedenfalls soweit weiterreichende Befug- nisse nicht in spezifischen Vorschriften des Polizei- rechts geregelt sind. Art. 47 Abs. 2 JI-RL enthält hin- gegen die Verpflichtung wirksame Abhilfebefugnisse zu gewähren. Diese Anforderung erfüllt die Regelung im BDSG nicht. Die nach wie vor nicht abgeschlosse- ne Umsetzung im Fachrecht zeigt deutlich, dass die wirksamen Abhilfebefugnisse für den JI-Bereich ein heitlich im BDSG geregelt werden sollten. Ich fordere 16 Abrufbar unter https://www.bmi.bund.de/SharedDocs/evaluierung-von-gesetzen/downloads/berichte/evaluierung-bdsg.pdf Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021 49

5.8 IT-Sicherheitsgesetz 5.9 EU Digitalgesetzgebung Mit dem IT-Sicherheitsgesetz 2.0 wurden viele neue Die EU-Kommission hat mit ihren Verordnungsvor- Aufgaben und Befugnisse für das Bundesamt für Si- schlägen zur Regulierung des europäischen Binnen- cherheit in der Informationstechnik (BSI) eingeführt. markts für Daten weitere Schritte zu einem EU-weiten In einer Dialogreihe arbeiten das BSI und mein Haus Regelwerk für den Digitalen Raum vorgelegt. Der gemeinsam an ihrer datenschutzkonformen Implemen- BfDI begleitet die Verhandlungen zu den einzelnen tierung. Rechtsakten sowohl national im Rahmen von Ressort- abstimmungen als auch durch Initiativen im Europäi- Am 27. Mai 2021 wurde das „Zweite Gesetz zur Erhöhung schen Datenschutzausschuss (EDSA). der Sicherheit informationstechnischer Systeme“ – oder kürzer das IT-Sicherheitsgesetz 2.0 – im Bundesgesetz- Aufbauend auf ihrer Ende 2020 veröffentlichten Da- blatt veröffentlicht. Ihm voraus ging ein langwieriges tenstrategie (COM/2020/66 final) hat die EU-Kommission Gesetzgebungsverfahren von rund zwei Jahren, das trotz im Berichtszeitraum mehrere Verordnungsvorschläge dieser Dauer von unangemessen kurzen Stellungnahme- vorgelegt, die einen „einheitlichen Rechtsrahmen für fristen geprägt war. Datenzugang und verantwortungsvolle Datennutzung“ in der EU bilden sollen. Im Kern handelt es sich dabei um Viele meiner Hinweise wurden im Gesetzgebungsver- zwei Rechtsakte mit dem Ziel der Regulierung von beste- fahren aufgegriffen und umgesetzt. Einige wichtige henden großen Datenplattformen sowie um Rechtsakte Forderungen wurden aber leider nicht übernommen: zur Förderung des Datenzugangs und des Datenaus- beispielsweise wurde mein klares Plädoyer gegen eine tauschs. Das Legislativpaket Digitale Dienste mit der Ausweitung der Speicherung von sog. Protokolldaten Verordnung über digitale Dienste (Digital Services Act, von 3 auf 12 Monate nicht nur verworfen, sondern im DSA) und der Verordnung über digitale Märkte (Digital Gegenteil sogar auf 18 Monate ausgeweitet. Dies wirft Markets Act, DMA) legt grundlegende Regeln für digitale aus meiner Sicht ganz erhebliche Fragen der Verhältnis- Dienste fest, die auf ein sicheres, vorhersehbares und mäßigkeit auf. vertrauenswürdiges Online-Umfeld und faire Märkte für Für das BSI führt das IT-Sicherheitsgesetz zu einem diese Dienste in der EU abzielen. Die Verordnung über erheblichen Verantwortungs- und Aufgabenzuwachs.17 Daten-Governance (Data Governance Act, DGA) hat zum In gleicher Weise steigt auch der Mehraufwand meines Ziel, die Verfügbarkeit von Daten öffentlicher Stellen Hauses für die datenschutzrechtliche Beratung und für Forschung und Wirtschaft in der EU zu erhöhen, Kontrolle des BSI. sog. Datenmittler zu etablieren und Mechanismen für gemeinsame gemeinwohlbezogene Datennutzungen zu Mir war wichtig, das BSI bei der Umsetzung der neuen fördern. Vorgaben des IT-Sicherheitsgesetzes 2.0 von Anfang an proaktiv zu begleiten. Nach dem Credo: „Datenschutz Insbesondere der DGA soll Ende 2021 um den Entwurf von Anfang an“ haben wir hierfür einen sehr erfolg- des sog. Data Act (DA) ergänzt werden. Zu diesem ge- reichen gemeinsamen Dialogprozess initiiert, um alle planten Rechtsakt hat die EU-Kommission im Mai 2021 neuen Prozesse und Systeme des BSI direkt in ihrer Ent- eine Folgenabschätzung (Inception Impact Assessment) wicklung datenschutzkonform auszugestalten und die veröffentlicht18. Daraus wird erkennbar, dass möglicher- Zusammenarbeit zwischen beiden Häusern bestmöglich weise konkrete Zugangsrechte zu Daten, auch personen- zu operationalisieren. bezogenen Daten, geschaffen werden könnten, um sog. Datenmärkte zu fördern. Deutlich wird sowohl bei DGA als auch DA, dass im Mittelpunkt der Anstrengungen des EU-Gesetzgebers verbesserte Rahmenbedingungen für digitale Geschäftsmodelle und Verarbeitungsformen sowie zugleich der Datenanalyse durch sog. Künstlichen Intelligenz (KI) stehen. Beide Verarbeitungsformen stel- len allerdings das bisherige Schutzkonzept des Daten- schutzes vor erhebliche Herausforderungen. Umso mehr gilt es, diese geplanten Rahmenregelungen für sog. 17 Kerninhalte des Gesetzes können abgerufen werden unter https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html 18 vgl. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/13045-Data-Act-&-amended-rules-on-the-legal-protection-of-data- bases_en 50 Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2021

Zur nächsten Seite