Datenschutzkonferenz – DSK

Personenbezogene Daten in der Forschung. Facebook-Fanpages von Behörden. Löschmoratorien von Untersuchungsausschüssen. Datenminimierung im Online-Handel. Die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ behandelte in ihrer 103. Sitzung verschiedene aktuelle Themen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, auch Datenschutzkonferenz (DSK) genannt, hat sich vom 23. bis zum 24. März 2022 zu ihrer 103. Sitzung in Bonn getroffen. Die Sitzung fand unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber statt. Die Datenschutzkonferenz befasste sich mit

  • der Verwendung von personenbezogenen Daten in der Forschung,
  • dem Betrieb von Facebook-Fanpages durch nicht-öffentliche und öffentliche Stellen,
  • Löschmoratorien von Untersuchungsausschüssen von Bund und Ländern,
  • der Datenminimierung im Online-Handel.

Forschung mit personenbezogenen Daten, wenn Rechtsgrundlagen existieren

„Wir haben einen Mangel an gut erhobenen Forschungsdaten und an digitalen Meldungswegen. Aber auch einen Mangel an Rechtsgrundlagen sowie Rechtsgrundlagen, die einander widersprechen“, erklärt Ulrich Kelber. Forschung mit personenbezogenen Daten sei möglich, solange die Rechtsgrundlagen existieren. Länderübergreifende Forschungsvorhaben würden oft daran scheitern, dass jedes Bundesland ein eigenes Gesetz zum Umgang mit Daten aus Krankenhäusern habe. Während der Impfkampagne sei wiederum deutlich geworden: „Deutschland kommt nicht voran, wenn der Datenschutz einer Verarbeitung von Forschungsdaten im Weg steht.“

Die Forschung werde von der DSGVO an vielen Stellen bevorzugt, betont Kelber: „Wir brauchen wissenschaftliche Forschung, die sich nach unseren europäischen Werten richtet. Die DSK unterstützt daher nachdrücklich die Förderung und Erforschung von Methoden, Forschungsdaten so zu verarbeiten, dass die Persönlichkeitsrechte der Bürgerinnen und Bürger bestmöglich geschützt werden.“ Die DSK spreche sich daher für ein allgemeines Forschungsdatengesetz aus. Es brauche das Forschungsgeheimnis: über Daten aus Forschungsvorhaben zu sprechen, wäre ein Vergehen. Sicherheitsbehörden dürften solche Daten nicht beschlagnahmen. Einmal pseudonymisierte oder anonymisierte Daten dürften zudem nicht mehr repersonalisiert werden. Lösungen sieht Kelber in der Arbeit mit anonymisierten Daten sowie in homomorpher Verschlüsselung und föderalem Lernen.

Facebook Fanpages: kein rechtskonformer Betrieb

Eine TaskForce der DSK beschäftigte sich in einem Gutachten mit Facebook-Fanpages sowie mit dem Betrieb durch nicht-öffentliche und öffentliche Stellen. Kelber fasst zusammen, es gebe in diesem Fall keine Rechtsgrundlagen für einen rechtskonformen Betrieb. Es gehe darum, gemeinsame Beschlüsse für alle Bundesländer und für eine gleiche Rechtsauffassung zu schaffen. Wollen Behörden Fanpages betreiben, müssten sie nachweisen, dass Sicherheitsbehörden anderer Staaten nicht auf personenbezogene Daten zugreifen können. Und sie müssten eine Vereinbarung mit Facebook darüber belegen, dass die Datenschutzverantwortlichen ihren Pflichten nachgehen. Ohne Nachweise müssten Behörden ihre Fanpages deaktivieren. „Behörden haben hier eine besondere Verantwortung und eine Vorbildfunktion für Bürgerinnen und Bürger“, stellt Kelber klar.

Der Bundesbeauftragte habe zusammen mit den Datenschutzbehörden mehrere Gespräche mit Facebook geführt: „Wir haben dem Unternehmen deutlich gemacht, dass wir eine Situation sehen, die nicht rechtskonform ist. Und dass Veränderungen nicht einfach so umzusetzen sind.“ Die Gespräche haben stattgefunden, obwohl die deutschen Behörden im Fall der Fanpages nach europäischem Recht nicht federführend sind. Dafür ist eine Behörde am Hauptsitz des Unternehmens in Irland verantwortlich. Ob Facebook etwas ändern werde, liege laut Kelber aber in der Hand des Unternehmens.

Untersuchungsausschüsse: Personenbezogene Daten länger aufbewahrt, als erlaubt

Mit jedem Untersuchungsausschuss wächst der Berg an gesammelten Daten. Die DSK beschäftigte sich daher auch mit den Löschmoratorien von Untersuchungsausschüssen von Bund und Ländern. Erhobene personenbezogene Daten werden laut Kelber weit über den gesetzlich erlaubten Zeitraum hinaus vor der Löschung bewahrt und ausgesondert, in manchen Fällen über viele Jahre hinweg. „Das sind Daten in der Größe einiger Terabyte, die tief in die Rechte der Bürgerinnen und Bürger eingreifen können“, meint Kelber.

Die DSK appelliert an die Gesetzgeber des Bundes und der Länder, den Sicherheitsbehörden klare gesetzliche Vorgaben zum Umgang mit zu löschenden Daten zu machen. Diese müssten einerseits den Untersuchungsausschüssen den Zugriff auf die Daten sichern. Gleichzeitig haben sie sicherzustellen, dass die Daten dem Verwaltungsvollzug der Behörden entzogen sind. Das Untersuchungsinteresse der Parlamentarischen Untersuchungsausschüsse und die Grundrechte der betroffenen Personen wären mit klaren Vorgaben gewahrt.

Online-Handel: Einwilligung zum Kundenkonto nicht freiwillig, wenn die Alternative fehlt

Kein seltenes Szenario im Online-Handel: Kundinnen und Kunden können ihre Bestellungen nur tätigen, wenn sie ein Kundenkonto anlegen. Kelber bezieht dazu Stellung: „Daten werden hier nicht nur für die richtige Anschrift gespeichert, sondern auch weiterverwendet. Die Einwilligung, die man dort erteilen muss, kann nicht freiwillig sein, wenn keine Alternative besteht.“ Vom Online-Handel erwarte die DSK daher, dass er einen Gastzugang anbietet, bei dem Kunden ihre Daten nur für einen bestimmten Bestellvorgang abgeben. Diese Daten müssten gelöscht werden, wenn die Ware ausgeliefert und wenn das Widerspruchsrecht nicht beansprucht wurde.

„Es muss wie in der analogen Welt möglich sein, ein Geschäft zu betreten und etwas zu kaufen, ohne der Profibildung zu unterliegen sowie dauerhaft mit Vorlieben und Kaufhistorie gespeichert zu sein“, sagt Kelber. Mit dem jetzigen Beschluss müssten Unternehmen die gleiche Rechtsauffassung aller Datenschutzbehörden kennen. Bei Beschwerden und beschwerdelosen Untersuchungen durch Behörden werden Betroffene mit dem Vorwurf des Datenschutzverstoßes konfrontiert. Mit allen Konsequenzen: Von der Beratung bis zum Bußgeld.

Die 2. DSK-Zwischenkonferenz wird am 22. Juni 2022 in Berlin stattfinden.


Schlagworte zum Thema:  Datensicherheit, Datenschutz