104. Datenschutzkonferenz

Vom Datenschutz in der Forschung über Microsoft 365 zur besseren Kooperation der Datenschutzbehörden. In ihrer 104. Sitzung befasste sich die Datenschutzkonferenz mit zahlreichen Themen und beantwortete strittige Fragen. Nicht ohne Widerspruch aus den USA.  

Wenn die obersten Datenschützerinnen und Datenschützer in Deutschland zusammenkommen: Vom 22. bis zum 24.11.2022 traf sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, auch Datenschutzkonferenz (DSK) genannt, zu ihrer 104. Sitzung in Bonn. Den Vorsitz übernahm der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber. Die Ergebnisse fasste er bei einer Pressekonferenz der DSK zusammen. 

Datenschutz und Forschung mit Gesundheitsdaten laut DSK „gleichzeitig möglich“

In der Petersberger Erklärung gehen die Datenschützerinnen und Datenschützer auf die verstärkte Nutzung von Forschungsdaten, auf spezielle Regelungen und technische wie organisatorische Standards ein. Außerdem diskutierten sie den Umgang mit Forschungsdaten, wenn die Einwilligung von Patientinnen und Patienten die Grundlage der Verarbeitung ist oder wenn es eine grundsätzliche Einwilligung gibt. Fazit: Datenschutz und Forschung mit Gesundheitsdaten seien gleichzeitig möglich.

„Wissenschaftliche Forschung bringt unserer Gesellschaft notwendige und entscheidende Vorteile. Es ist wichtig, Forschung zu ermöglichen und gleichzeitig die Grundrechte der Bürgerinnen und Bürger zu wahren. Denn sie stehen im Mittelpunkt dieser Forschung und dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden“ sagt der Bundesbeauftragte Ulrich Kelber. Zu schaffen sei das nur mit transparenten und nachvollziehbaren Regeln, mit dem besten rechtlichen und technischen Schutz für die betroffenen Personen, mit Beratung und Überwachung durch die Datenschutzaufsichtsbehörden sowie durch eine gesetzliche Regelung des Forschungsgeheimnisses.

Es ist wichtig, Forschung zu ermöglichen und gleichzeitig die Grundrechte der Bürgerinnen und Bürger zu wahren. Denn sie stehen im Mittelpunkt dieser Forschung und dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden. 

Ulrich Kelber

Zwischen dem hohen Gut der Forschungsfreiheit, dem Allgemeinwohlinteresse und dem Recht auf informationelle Selbstbestimmung sei abzuwägen, meint Kelber. Der Regler könne sich aber zugunsten der Forschung verschieben. Zum Beispiel lässt die DSK offen, ob ein Opt Out – die Speicherung von Daten ohne aktiven Widerspruch der Betroffenen – für alle möglich wird oder ob das auch einzuschränken sei, wenn bestimmte Menschen leicht zu reidentifizieren wären. Die DSK fordert außerdem die Verschlüsselung und Pseudonomysierung von Daten durch eine Vertrauensstelle, die frühe Anonymisierung sowie ein zentrales Registerverzeichnis und eine zentrale koordinierende Stelle.

Forschende dürften laut DSK keine Angst davor haben, sich unabsichtlich strafbar zu machen: Das Forschungsgeheimnis verschaffe ihnen vielmehr eine starke Position gegenüber Dritten. Die Petersberger Erklärung soll Orientierung für die Debatten über ein Gesundheitsdatennutzungsgesetz und ein Forschungsdatengesetz bieten. Sowohl das Forschungsgeheimnis als auch das strafbewehrte Repersonalisierungsverbot müssten laut der DSK in einem Forschungsdatengesetz etabliert werden.

Datenschutzkonferenz: Keine rechtmäßige Nutzung von Microsoft 365

Schon länger beschäftigen sich deutsche Datenschützer mit der Frage: Können deutsche Datenschutz-Verantwortliche, beispielsweise in Unternehmen, Schulen oder Behörden, Microsoft 365 rechtskonform einsetzen? „Nur mit den Dokumenten, die Microsoft zur Verfügung stellt, wäre es nicht möglich, Microsoft 365 rechtskonform einzustellen“, berichtet Kelber. Die Rechtmäßigkeit sei nicht geklärt. Ob sich eine Datenschutzkonformität herstellen lässt, das müssten die Datenschutzbehörden in Einzelfällen anschauen.

Das US-Unternehmen legte im September eine neue Version seines Auftragsverarbeitungsvertrags vor. Welche Daten weiter erhoben, zu Microsoft übertragen und für eigene Zwecke (nicht nur zur Auftragsverarbeitung) verarbeitet werden, könne man noch nicht einschätzen, berichtet Kelber und erklärt: „Wir sehen allein durch die vorgestellten Maßnahmen noch Mangel an der Transparenz und der Prüfung, ob alle Datenverarbeitungen zu eigenen Zwecken auch rechtmäßig sind. Das reicht noch nicht aus, um die Rechtmäßigkeit des Einsatzes von Microsoft 365 belegen zu können.“

Wir sehen allein durch die vorgestellten Maßnahmen noch Mangel an der Transparenz und der Prüfung, ob alle Datenverarbeitungen zu eigenen Zwecken auch rechtmäßig sind. 

Ulrich Kelber

Schon bei Windows 10 sahen die Datenschützer ein Datenschutzproblem. Damals empfahlen sie eine Mikrovirtualisierung oder einen dazwischengeschalteten Proxyserver, der den Datenfluss zu Microsoft verhindert. Zwar könnte das laut Kelber auch bei Microsoft 365 passieren, aber er zweifelt an, dass der Nachweis der Rechtskonformität vorhanden sei, wenn Menschen die Anwendung „einfach mal so und ohne Schutzmaßnahmen auf einem Rechner nutzen.“

Microsoft widerspricht den Aussagen der DSK in einer Stellungnahme. Das Unternehmen stelle sicher, dass die M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Laut Microsoft berücksichtigen die Bedenken der DSK die Änderungen nicht angemessen und beruhen auf Missverständnissen über die Maßnahmen wie über die Funktionsweise der Dienste. Nicht die deutschen Aufsichtsbehörden, sondern die Behörden in Irland sind für Microsoft zuständig. Trotzdem erfolgten früher Gespräche zwischen der DSK und dem US-Unternehmen, das laut Kelber daran interessiert sei, dass deutsche Datenschutzaufsichtsbehörden seine Positionierungen erkennen.

Bessere Kooperation der Datenschutzbehörden: Ein Präsidium und eine Klausur

Die 18 deutschen Datenschutzbehörden haben sich auf europäischer Ebene bisher unterschiedlich verhalten. In Brüssel habe das für Verwirrung gesorgt, meint Kelber, alleiniger Vertreter in Gremiensitzungen. Schon zuvor veränderte die DSK ihre Satzung so, dass sie bestimmte Entschließungen verbindlich für alle Aufsichtsbehörden treffen kann, die nicht bereits beim Entschluss etwas anderes aussagen. Das war noch nicht alles.

Zunächst plant die DSK ein eigenes Präsidium. Den Vorsitz besetzen das aktuelle Vorsitzland, der vorangegangene und der nachfolgende Vorsitz sowie die beiden Mitglieder im europäischen Datenschutzausschuss, Prof. Ulrich Kelber und sein Stellvertreter Prof. Dr. Thomas Petri. Das Präsidium soll die politische Steuerung, die Schwerpunktsetzung und die Vorbereitung eines Vorsitzlandes unterstützen, was vor allem kleineren Bundesländern helfen würde.

Deutschland spricht bei europäischen Stellungnahmen nun mit einer Stimme. 

Ulrich Kelber

Des Weiteren planen die Datenschützer eine jährliche Klausur im Sommer, die Diskussionen abseits der Konferenzen und frei von Beschlussfassungen zulässt. Den frühen Austausch sucht die DSK bereits in einem wöchentlichen Jour Fixe. Abweichende Entscheidungen könne man so vermeiden, meint Kelber und betont: „Damit können wir unsere besondere Expertise besser einbringen. Deutschland spricht bei europäischen Stellungnahmen nun mit einer Stimme.“

Weitere Themen: Version 3.0 des Standard-Datenschutzmodells, US-Unternehmen und die Souveräne Cloud, Verbrauchervorschriften über digitale Produkte im BGB und das Datenschutzrecht

Weitere Informationen zur Arbeit der DSK


Schlagworte zum Thema:  Datensicherheit, Datenschutz