2023-06-26-bmi-bureg-stellungnahme-bfdi-taetigkeitsbericht-2022
Dieses Dokument ist Teil der Anfrage „Stellungnahme zum Tätigkeitsbericht des BfDI“
2.3 Empfehlung betreffend den Einsatz von KI im Bereich der Strafverfolgung
und Gefahrenabwehr (Pkt. 2.1, S. 10 sowie Pkt. 4.4.2, S.46 des Berichts)
Der BfDI empfiehlt – mit dem Ziel den Einsatz von KI in der Strafverfolgung und
Gefahrenabwehr rechtlich abzusichern – dem Gesetzgeber, eine umfassende,
empirische und interdisziplinäre Bestandsaufnahme durch eine Expertenkommission
durchzuführen.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Aus Sicht der Bundesregierung sollte im Bereich des Einsatzes künstlicher Intelligenz
zunächst die Rechtssetzung innerhalb der Europäischen Union abgewartet werden
(insbesondere KI-Verordnung), bevor eine Sachverständigenkommission eingesetzt
wird.
2.4. Empfehlung betreffend den EU-Verordnungsentwurf zur Chatkontrolle
(Pkt. 2.1, S. 10 sowie Pkt. 4.4.1, S. 45 f. des Berichts)
Der BfDI empfiehlt, auf eine erhebliche, grundrechtskonforme Überarbeitung des
Verordnungsentwurfs zur Chatkontrolle zu drängen und ansonsten den Verordnungs-
entwurf insgesamt abzulehnen.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Für die Bundesregierung hat der Kampf gegen sexuellen Missbrauch von Kindern
und Jugendlichen höchste Priorität. Daher begrüßt die Bundesregierung den
Kommissionsentwurf als gemeinsames europäisches Vorgehen, das klare und
dauerhafte Rechtsgrundlagen schafft. Ein einheitlicher europäischer Rechtsrahmen
mit effektiven Meldewegen stellt einen wesentlichen Schritt im Kampf gegen
sexuellen Missbrauch von Kindern dar, denn die derzeit gültige Interims-VO, die
freiwillige Aufdeckungsmaßnahmen der Anbieter ermöglicht, läuft im August 2024
aus.
Gleichzeitig ist es unbedingt erforderlich, dass die geplanten Regelungen im Einklang
mit den grundrechtlichen Anforderungen insbesondere an den Schutz der Vertrau-
lichkeit der Kommunikation und an den Schutz der Privatsphäre in der Kommu-
nikation stehen. Ein hohes Datenschutzniveau, ein hohes Maß an Cybersicherheit,
einschließlich einer durchgängigen und sicheren Ende-zu-Ende-Verschlüsselung in
der elektronischen Kommunikation sind für die Bundesregierung unerlässlich. Auch
5
aus Sicht der Bundesregierung sind wesentliche Änderungen im Verordnungsentwurf
erforderlich, damit dieser aus deutscher Sicht zustimmungsfähig wird.
Eine erste Stellungnahme Deutschlands zum Verordnungsentwurf, unter Mitwirkung
des BfDI, wurde am 12.04.2023 nach Brüssel übermittelt. In dieser werden konkrete
Forderungen festgehalten. Soweit die Prüfungen innerhalb der Bundesregierung
noch nicht abgeschlossen sind, behält sie sich weitere Forderungen zu einem
späteren Zeit-punkt vor. Die Bundesregierung wird sich auch weiterhin aktiv und
konstruktiv in die Verhandlungen der CSA-VO einbringen.
2.5 Empfehlung zu Datentreuhändern auf Grundlage des TTDSG (Pkt. 2. 1,
S. 10 sowie Pkt. 5.5, S. 53 des Berichts)
Der BfDI empfiehlt die Einführung von Datentreuhändern auf Basis des TTDSG
grundsätzlich zu überarbeiten und DSGVO-konform umzusetzen.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Der BfDI nimmt Bezug auf § 26 TTDSG und das laufende Gesetzgebungsverfahren
für eine Regierungsverordnung gemäß dieser Regelung. Das BMDV hat im August
2022 einen ersten Referentenentwurf dieser Regierungsverordnung in die Ressort-
abstimmung gegeben. Der BfDI sah Abweichungen von zwingenden Grundsätzen
der DSGVO und empfahl eine Überarbeitung des Referentenentwurfes. Der Referen-
tenentwurf wurde zwischenzeitlich überarbeitet und den Ressorts und BfDI erneut
zugeleitet. BfDI und Ressorts haben keine Bedenken gegen die Beteiligung von
Ländern, kommunalen Spitzenverbänden, Fachkreisen und Verbänden nach § 47
GGO vorgetragen. Daraufhin wurde der Entwurf Anfang Juni veröffentlicht. Die
beteiligten Kreise haben nun bis zum 14. Juli Gelegenheit zur Stellungnahme. Nach
Auswertung der Stellungnahmen soll der Referentenentwurf zur abschließenden
Abstimmung dem Ressortkreis zugeleitet und ein kabinettsreifer Entwurf gefertigt
werden.
2.6 Empfehlung zum Sicherheitsüberprüfungsgesetz (SÜG) – Entwicklung
eines schlüssigen Gesamtkonzepts (Pkt. 7.10, S. 70 f. des Berichts)
Der BfDI empfiehlt dem Gesetzgeber, die anstehende Evaluierung des Sicherheits-
überprüfungsgesetzes (SÜG) zu nutzen, um ein schlüssiges Gesamtkonzept für
Personenüberprüfungen auf Bundesebene zu entwickeln. Anstelle einer ausufernden
Anwendung der Öffnungsklauseln auf ganze Behörden, verschiedene Überprüfungs-
6
formate außerhalb des SÜG sowie Mehrfachüberprüfungen aufgrund verschiedener
Tätigkeiten sollte der Anwendungsbereich des SÜG neu definiert werden.
Die Bundesregierung nimmt hierzu wie folgt Stellung:
Die Bundesregierung teilt die Wahrnehmung des BfDI, dass es aufgrund des vom
SÜG festgelegten Prüfungsumfangs im Bereich des vorbeugenden personellen
Sabotageschutzes zu Mehrfachüberprüfungen kommen kann. Das BMI wird dazu
zum einen das Gespräch mit den Ländern suchen und zum anderen im Rahmen der
anstehenden Novelle des Sicherheitsüberprüfungsgesetzes Änderungsbedarfe
prüfen.
2.7. Klarstellung der Zuständigkeit für Reservistinnen und Reservisten
zwischen BAMAD und BfV (Pkt. 9.4.10, S. 98 f. des Berichts)
Der BfDI empfiehlt dem Gesetzgeber eine gesetzliche Klarstellung hinsichtlich der
Zuständigkeit für Reservistinnen und Reservisten zwischen BAMAD und BfV.
Hierzu nimmt die Bunderegierung wie folgt Stellung:
Der BfDI stellt die Zuständigkeitsverteilung zwischen BfV und BAMAD zutreffend dar.
Grundsätzlich ist das BfV für Personen mit Reservistenstatus zuständig, für den
Zeitraum des Reservisteneinsatzes fällt die Zuständigkeit in den Bereich des
BAMAD. Alle Beteiligten kennen ihre Zuständigkeit. Gesetzgeberischer
Klarstellungsbedarf besteht hierzu nicht.
2.8. Empfehlung zur Abschaffung der Antiterrordatei (ATD) und der
Rechtsextremismus-Datei (RED) (siehe Pkt. 2.1, S. 10 sowie Pkt. 9.4.4,
S. 93 f. des Berichts)
Der BfDI fordert vor dem Hintergrund mehrerer Beanstandungen und dem
Fortbestand seiner Kritik, die Antiterrordatei (ATD) und die Rechtsextremismus-Datei
(RED) angesichts des nach Einschätzung des BfDI geringen Nutzwerts
abzuschaffen.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Die Bundesregierung hat sich entsprechend dem Koalitionsvertrag vorgenommen,
die polizeilichen Datenbanken einer Revision zu unterziehen, deren
Verarbeitungsregelungen zu präzisieren und den Rechtsschutz sowie die
7
Datenaufsicht durch den BfDI zu stärken. Die Überlegungen hierzu, bei denen
sowohl Sicherheitsbelange, polizeipraktische Bedürfnisse, Fragen der Visa-Erteilung
als auch datenschutzrechtliche Belange einzustellen sind, sind noch nicht
abgeschlossen.
3. Ausgewählte datenschutzrechtliche Feststellungen und
Beanstandungen
3.1. Passenger Name Records (PNR) – Grundsatzurteil des EuGH (siehe Pkt.
7.1, S. 61 f.)
Der BfDI bemängelt eine unverhältnismäßige Fluggastdatenverarbeitung auch in
Deutschland und fordert eine grundlegende Überarbeitung des PNR-Systems.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Mit seiner Entscheidung vom 21. Juni 2022 hat der EuGH unter europarechts-
konformer Auslegung die Vereinbarkeit der PNR-Richtlinie mit EU-Recht festgestellt.
Die Mitgliedstaaten sind verpflichtet, die Richtlinie in nationales Recht umzusetzen
und ein PNR-System zu betreiben.
Um die laufende deutsche Fluggastdatenverarbeitung den aus der europarechts-
konformen Auslegung der PNR-Richtlinie durch den EuGH resultierenden Anfor-
derungen anzupassen, hat das Bundesministerium des Innern und für Heimat
gemeinsam mit den betroffenen Behörden ein Maßnahmenpaket erarbeitet.
Wesentliche Teile dieses Maßnahmenpakets sind bereits umgesetzt oder befinden
sich derzeit in der Umsetzung. Die Verarbeitungspraxis wurde mit dem Ziel umge-
stellt, dass eine Verarbeitung von Fluggastdaten gemäß § 4 FlugDaG für intra-EU-
Flüge nur noch entsprechend den Vorgaben des EuGH in der Entscheidung
C-817/19 vom 21. Juni 2022 erfolgt.
Insbesondere wurden folgende Maßnahmen mit dem Ziel einer europarechts-
konformen Auslegung des Fluggastdatengesetzes umgesetzt:
Nach der EuGH-Entscheidung dürfen Fluggastdaten des gesamten intra-EU-
Flugverkehrs eines Mitgliedstaats nur dann verarbeitet werden, wenn es nach
Einschätzung des Mitgliedstaats hinreichend konkrete Umstände für die Annahme
gibt, dass er mit einer als real und aktuell oder vorhersehbar einzustufenden
terroristischen Bedrohung konfrontiert ist. Außerhalb einer solchen Situation muss
sich die Verarbeitung von Fluggastdaten auf solche Flüge beschränken, die etwa
bestimmte Flugverbindungen, bestimmte Reisemuster oder bestimmte Flughäfen
8
betreffen, für die es Anhaltspunkte gibt, die die Datenverarbeitung rechtfertigen. Die
Mitgliedstaaten sind verantwortlich, entsprechende Einschätzungen vorzunehmen.
Mittlerweile wurde die Verarbeitungspraxis umgestellt mit dem Ziel, dass eine
Verarbeitung gemäß § 4 FlugDaG für intra-EU-Flüge nur noch auf Grundlage
entsprechender Einschätzungen erfolgt.
Soweit der EuGH einen objektiven Zusammenhang zwischen strafbarer Handlung
und der Beförderung von Fluggästen fordert, wird dies inzwischen bei der Verarbei-
tung von Fluggastdaten geprüft. Nur in Fällen eines unmittelbaren Zusammenhangs
zwischen strafbarer Handlung und der Beförderung von Fluggästen oder eines im
Rahmen der individuellen Verifizierung der technischen Treffer von der
Fluggastdatenzentralstelle festgestellten mittelbaren Zusammenhangs erfolgt eine
Trefferausleitung an den jeweiligen Bedarfsträger.
Soweit der EuGH grundsätzlich eine nur sechsmonatige Speicherfrist für zulässig
erachtet, die nur bei Anhaltspunkten für einen Zusammenhang des Datensatzes mit
den Zwecken der PNR-Richtlinie auf bis zu fünf Jahre verlängert werden kann, ist mit
der Umsetzung der EuGH-Vorgaben begonnen worden. Hierbei waren die diffizilen
technischen Rahmenbedingungen des PNR-Systems zu berücksichtigen. Kernpunkt
der Umsetzung ist eine erste bereits durchgeführte Löschung von PNR-Daten, der
weitere Datenlöschungen folgen werden. Seit Ende April 2023 werden an die
Fluggastdatenzentralstelle übermittelte PNR-Datensätze mit einer Kennzeichnung
versehen, so dass die jeweiligen Datensätze nach einer Lebensdauer von sechs
Monaten automatisiert gelöscht werden. Nur im Falle von verifizierten und
ausgeleiteten Registertreffern soll darauf aufbauend eine längere Speicherung bis zu
fünf Jahren ermöglicht werden. Für eine Übergangszeit werden Zugriffe auf PNR-
Datensätze, die noch nicht mit einer entsprechenden Kennzeichnung versehen sind,
und deren Lebensalter über sechs Monate beträgt, im Rahmen der Sachbearbeitung
verhindert.
Soweit der EuGH auch für retrograde Rechercheersuchen im offenen Datenbestand
(jünger als sechs Monate) eine vorherige Kontrolle durch ein Gericht oder eine
unabhängige Verwaltungsstelle fordert, wird das in § 5 Absatz 2 des
Fluggastdatengesetzes vorgesehene Verfahren entsprechend angewendet.
Nach Kenntnis der Bundesregierung ist Deutschland mit der Erarbeitung und
Umsetzung des Maßnahmenpakets zur Anpassung der PNR-Verarbeitungspraxis an
die Rechtsprechung des EuGH einer der ersten Mitgliedstaaten, der aus der EuGH-
Entscheidung konkrete Konsequenzen zieht.
9
Unabhängig von den vorstehenden Praxisanpassungen, die das Bundesministerium
des Innern und für Heimat gemeinsam mit den betroffenen Behörden umgesetzt hat,
prüft die Bundesregierung die erforderlichen rechtlichen Änderungen im
Fluggastdatengesetz.
3.2. Datenübermittlung des BKA im internationalen Bereich (Pkt. 9.4.3, S. 92 f.
des Berichts)
Der BfDI ist der Auffassung, dass das BKA bei der Datenübermittlung an Drittstaaten
für die Landespolizeibehörden zwingend eine summarische materielle
Rechtmäßigkeitsprüfung vornehmen muss.
Hierzu wird seitens der Bundesregierung wie folgt Stellung genommen:
Das BKA prüft, wenn es den mit Drittstaaten erforderlichen Dienstverkehr für Landes-
polizeibehörden übernimmt („Botenfunktion“ oder „Korrespondenzfunktion“), alle
Voraussetzungen der § 27 Absatz 1 Nummer 1 BKAG i.V.m. den §§ 78 bis 80 BDSG
sowie § 28 BKAG und grundlegende rechtshilferechtliche Voraussetzungen. Die
Prüfung der materiellen Voraussetzungen der Datenübermittlungsnorm und ggf. der
Datenerhebungsnorm der das BKA anfragenden Polizei des Bundes oder der Länder
ist vollumfänglich durch diese selbst sicherzustellen; das BKAG regelt nichts
Anderes. An dieser Bewertung ändert auch die Übermittlung der Daten über das BKA
als Boten nichts (Dienstweg). Aufgrund der grundgesetzlichen Kompetenzordnung –
Polizeien sind grundsätzlich Länderzuständigkeit – besteht kein umfassendes und
unbeschränktes materielles Prüfungsrecht des BKA. Das BKA trägt gem. § 27 Absatz
7 BKAG die Verantwortung für die Zulässigkeit der Übermittlung. Dem BKA steht
deshalb ein Verweigerungsrecht bei offensichtlich materiell rechtswidrigen Daten-
übermittlungsersuchen der anfragenden Polizeien zu. Aufgrund des Rechtsstaats-
prinzips ist das BKA nicht verpflichtet, offensichtlich materiell rechtswidrige Daten-
übermittlungen an das Ausland durchzuführen. Die Prüfung des BKA beschränkt sich
dabei auf das Erkennen von offensichtlichen Mängeln bei der Prüfung von
Datenübermittlungs- / Datenerhebungsnormen durch die anfragenden Polizeien.
3.3. Forschungsdatenzentrum Gesundheit (Pkt. 4.1.2, S. 35 f. des Berichts)
Der BfDI vermisst klare Regelungen zum Widerspruchsrecht bezüglich der
Weiterleitung von Daten an das Forschungsdatenzentrum im Rahmen des
Datentransparenzverfahrens.
10
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Es bestehen insofern klare Regeln zum Widerspruch, als dass ein allgemeines
Widerspruchsrecht gegen die Übermittlung der Gesundheitsdaten an das
Forschungsdatenzentrum Gesundheit nicht vorgesehen ist und bei Verarbeitung auf
Grundlage einer gesetzlichen Verpflichtung datenschutzrechtlich auch nicht
erforderlich ist, wenn ein überwiegendes öffentliches Interesse an der Datenverar-
beitung besteht. Die größtmögliche Vollständigkeit der Daten liegt hierbei im
überwiegenden öffentlichen Interesse.
Widerspruchsrechte, die sich aus der DSGVO ergeben, sind zudem nicht
eingeschränkt und im Datentransparenzverfahren anwendbar.
3.4. European Health Data Space (Pkt. 5.1., S. 49 f. des Berichts)
Der BfDI sieht im Verordnungsentwurf zum European Health Data Space (EHDS) die
Freiheitsrechte der Bürgerinnen und Bürger nicht ausreichend berücksichtigt und
zählt dazu mehrere Verbesserungsvorschläge auf.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Die Bundesregierung setzt sich in den laufenden Verhandlungen zum EHDS auf
europäischer Ebene für eine verantwortungsvolle Gesundheitsdatennutzung unter
Beachtung des Datenschutzes zum Wohle der Bürgerinnen und Bürger ein. Bei der
Abstimmung der Stellungnahmen und Textvorschläge für die Verhandlungen wird der
BfDI gemäß der gemeinsamen Geschäftsordnung der Bundesregierung regelmäßig
beteiligt. Auch die Bundesregierung ist der Auffassung, dass das Schutzniveau der
Betroffenenrechte im EHDS gegenüber dem Niveau der DSGVO nicht abgesenkt
werden soll. Um die Freiheitsrechte der Bürgerinnen und Bürger zu wahren und eine
umfassende Mitwirkung zu gewährleisten, befürwortet die Bundesregierung ein
Widerspruchsrecht für die Betroffenen im Bereich der Sekundärnutzung von
Gesundheitsdaten.
3.5. Aktuelles aus der Telematikinfrastruktur und von ihren Anwendungen
(Pkt. 8.1, S. 72 f. des Berichts)
Zum Unterpunkt „Alternatives Authentifizierungsverfahren“
Vor dem Hintergrund der besonderen Schutzbedürftigkeit der besonders sensiblen
Gesundheitsdaten bedürfen nach Auffassung des BfDI Zugriffe auf die elektronische
11
Patientenakte (ePA) immer hochsicherer Authentifizierungsverfahren, welche die
sogenannte alternative Versichertenidentität (al.vi) nicht biete. Der BfDI hat seine
Duldung vor dem Hintergrund des Versprechens der gematik, al.vi zum 31.12.2023
abzuschalten bis dahin verlängert.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Ohne die Nutzung von al.vi stehen den Versicherten derzeit ausschließlich
kartenbasierte Identifikationsmittel zur Verfügung, welche über eine vorherige
Identifikation auf hohem Sicherheitsniveau zugestellt bzw. ausgegeben werden.
Derzeit verfügt nur ein kleiner Anteil der Versicherten über eine NFC-fähige
elektronische Gesundheitskarte (eGK) einschließlich der zugehörigen PIN, die für die
kartenbasierte Identifikation erforderlich sind. Auch geeignete Smartphones sind
nicht flächendeckend verbreitet. Darüber hinaus ist dieser Zugangsweg über eGK
und PIN deutlich weniger komfortabel als die Zugangswege, die Smartphone-Nutzer
üblicherweise kennen und nutzen (z. B. Passworteingabe oder Biometrie). Die al.vi
wird zeitnah durch eine digitale Identität, die sogenannte GesundheitsID, abgelöst.
Im Krankenhauspflegeentlastungsgesetz wurde darüber hinaus eine Möglichkeit
vorgesehen, dass Versicherte nach umfassender Information durch die Kranken-
kasse in die Nutzung einer digitalen Identität einwilligen können, die einem anderen
angemessenen Sicherheitsniveau entspricht. Da die Versicherten eine Wahlmöglich-
keit haben, sich entweder mit der eGK oder dem elektronischen Personalausweis auf
dem hohen Vertrauensniveau für Anwendungen der Telematikinfrastruktur anzumel-
den bzw. dieses Verfahren abzuwarten, oder optional eine Alternative zu wählen, ist
dies rechtlich aus hiesiger Sicht auch durchaus vertretbar.
BfDI hat bisher nur der Spezifikation der digitalen Identität auf hohem Sicherheits-
niveau zugestimmt, aber noch keine Zustimmung zu der Spezifikation einer digitalen
Identität mit Wahlrecht erteilt.
Zum Unterpunkt „Sachstand zum Gerichtsverfahren zur elektronischen
Patientenakte“
Der BfDI berichtet, dass mit der Umsetzung des sog. feingranularen Zugriffsmanage-
ments für Frontend-Nutzer, also solche gesetzlich Versicherte, die eine Smartphone-
App zur Nutzung der elektronischen Patientenakte (ePA) nutzen, sowie für befugte
Vertreter von Frontend-Nichtnutzern durch die Krankenkassen innerhalb der hierfür
gesetzlich vorgesehenen Frist seiner Weisung Genüge getan wurde. Gleichzeitig
weist er darauf hin, dass Frontend-Nichtnutzern, die für die Nutzung der ePA auch
keinen Vertreter einsetzen können oder möchten, über die Nutzung der dezentralen
Infrastruktur der Leistungserbringer weiterhin nur ein eingeschränktes, sog.
mittelgranulares Zugriffsmanagement zur Verfügung stehe.
12
Zudem habe diese Nutzergruppe mangels Terminal- oder anderweitiger Lösung
weiterhin keine Möglichkeit, Einsicht in die eigene ePA zu nehmen.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Die Bundesregierung hält – wie bereits in ihrer Stellungnahme zum 29. Tätigkeits-
bericht für den Datenschutz und die Informationsfreiheit – weiterhin an ihrer
Rechtsauffassung fest, dass die ePA in der derzeit gesetzlich vorgesehenen Form
datenschutzkonform ausgestaltet ist. Nach wie vor lässt sich weder aus nationalem
Recht noch aus übergeordnetem europäischen Recht ein Anspruch auf eine
bestimmte Granularität einer Einwilligung ableiten. Vielmehr stellt die DSGVO in
Nummer 32 der Erwägungsgründe sogar darauf ab, dass für alle Datenverarbei-
tungsvorgänge, die zu demselben Zweck erfolgen, nur eine Einwilligung eingeholt
werden sollte. Vor dem Hintergrund einer insoweit freiwilligen und informierten
Einwilligung kann kein abweichendes Ergebnis durch die Heranziehung der Grund-
sätze der Rechtmäßigkeit, Datenminimierung (Erforderlichkeit), Zweckbindung und
Vertraulichkeit (Artikel 5 DSGVO) begründet werden. Liegt nämlich eine wirksame
Einwilligungserklärung vor, so beruht die Datenverarbeitung auf einer ausreichenden
Rechtsgrundlage. Ihre Grenze findet die Rechtfertigung durch Einwilligung dann,
wenn die Versicherten keine andere Wahl hätten, als die elektronische Patientenakte
zu einer optimalen medizinischen Versorgung zu nutzen. Dies ist durch das
ausdrücklich in § 335 SGB V normierte Diskriminierungsverbot ausgeschlossen.
Auch können – entgegen der Auffassung des BfDI – alle Versicherten ihre Rechte
auf Einsicht hinreichend wahrnehmen. Die insoweit restriktive Auslegung des BfDI
findet in der DSGVO keine Entsprechung. Darüber hinaus hat eine Evaluation des
Bedarfs für eine flächendeckende Schaffung technischer Einrichtungen durch
Krankenkassen nach § 338 Absatz 3 des Fünften Buches Sozialgesetzbuch ergeben,
dass kein Bedarf an Terminal- oder anderweitigen Lösungen zur Einsichtnahme von
gesetzlich Versicherten in die eigene ePA besteht.
Zum Unterpunkt „Datenschutzrechtliche Verantwortlichkeit bei den Konnektoren“
Der BfDI regt eine Anpassung des § 307 Abs. 1 SGB V an.
Aus seiner Sicht sei eine Verantwortlichkeit der Leistungserbringer nicht sachgerecht,
da diese nicht in der Lage seien, selbst Veränderungen an den Konnektoren zu
bewirken oder zu veranlassen. Sie seien davon abhängig, dass die Konnektoren
ordnungsgemäß arbeiten und müssen sich dabei auf Andere, wie z. B. die Hersteller
der Konnektoren, und auf die Zulassung durch die gematik verlassen. Stattdessen
könnte eine gemeinsame Verantwortung der gematik mit den Nutzern entsprechend
13
dem Datenschutzkonferenz-Beschluss vom 12. September 2019 (s. 28. TB Nr. 4.2.1)
vorgesehen werden.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Aus Sicht der Bundesregierung besteht kein Handlungsbedarf. Der Gesetzgeber hat
im Sinne der Betroffenen eine eindeutige datenschutzrechtliche Verantwortlichkeits-
zuweisung im Sinne einer spezifizierenden Regelung nach Artikel 4 Nummer 7
Halbsatz 2 DSGVO vorgenommen. Die Pflicht zur Verwendung bestimmter Dienste,
Anwendungen, Komponenten und sonstiger Infrastrukturteile entbindet den Verant-
wortlichen nicht von der Pflicht zur Ergreifung geeigneter und angemessener tech-
nischer und organisatorischer Maßnahmen, soweit diese zusätzlich erforderlich sind
(z.B. Sicherung von Konnektoren gegen unbefugten Zugang, Verwendung geeigne-
ter Verschlüsselungsstandards nach dem Stand der Technik etc.). Die Zuweisung an
die Leistungserbringer im Rahmen dieses Verantwortungsbereichs ist daher
sachgerecht.
Zum Unterpunkt „Opt-out Debatte bei der elektronischen Patientenakte“
Der BfDI weist darauf hin, dass für eine nach dem Koalitionsvertrag vorgesehene
Umgestaltung der ePA hin zu einer sogenannten Opt-out-Anwendung viele
unterschiedliche Gestaltungsmöglichkeiten denkbar seien. Vorgesehen sei jedoch,
dass die Versicherten nur nachträglich einen Widerspruch aussprechen. Zudem
bestehe keine Notwendigkeit für eine Umgestaltung der ePA zu einer Opt-out-
Anwendung. Der bisherige geringe Nutzen der ePA sei nicht auf die Ausgestaltung
als Opt-in-Anwendung zurückzuführen.
Hierzu nimmt die Bundesregierung wie folgt Stellung:
Die seitens des BfDI vertretene Auffassung, den Versicherten stünde gegen die
denkbaren Gestaltungsmöglichkeiten der ePA nur nachträglich ein Widerspruch (ein
sog. Opt-out) zu, ist unzutreffend. Die Planungen im BMG zur Umsetzung der ePA
als Opt-out-Anwendung sehen differenzierte Möglichkeiten des Widerspruchs vor, die
sowohl die Freiwilligkeit der Nutzung der ePA durch die Versicherten als auch die
Ausübung der sich aus der Datenschutzgrundverordnung und der Verfassung erge-
benden Rechte der Versicherten gewährleisten. Im Sinne einer patientenzentrierten
Akte sollen die Versicherten einer Datenverarbeitung in der ePA zu jeder Zeit
widersprechen können.
Die Ausgestaltung der ePA als Opt-Out-Anwendung, die in anderen europäischen
Ländern wie Schweden, Dänemark, Österreich oder Frankreich zu hohen Nutzungs-
raten führte, ist im Koalitionsvertrag festgeschrieben und eine politische Absichts-
14
