Haufe Online Redaktion
Haufe Online Redaktion
Tätigkeitsbericht des Bundesbeauftragten für Datenschutz (BfDI)
Bild: Bacho Foto – stock.adobe.com In seinem kürzlich übergebenen Tätigkeitsbericht gibt der BfDI einen Ausblick auf die wichtigen Fragen des Datenschutzes und der Informationsfreiheit.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat Bundestagspräsidentin Bärbel Bas seinen Tätigkeitsbericht für das Jahr 2023 übergeben. Der Bericht gibt einen Rückblick auf die Schwerpunkte seiner Arbeit sowie einen Ausblick auf anstehende wichtige Fragen des Datenschutzes und der Informationsfreiheit.

Im 32. Tätigkeitsbericht äußert Prof. Ulrich Kelber deutliche datenschutzrechtliche Bedenken bei der elektronischen Patientenakte und drängt darauf, beim Thema KI auf Grundrechte zu achten. Besondere Brisanz hat der Tätigkeitsbericht, weil die Koalition Kelbers Amtszeit nicht verlängert hat, obwohl sich dieser dafür beworben hatte, und sich diese zum Zeitpunkt der Veröffentlichung des 32. Tätigkeitsberichts noch nicht auf eine Nachfolge hat einigen können.

Hintergrund
Die Tätigkeitsberichte des BfDI erscheinen jährlich und werden dem Deutschen Bundestag, der Bundesregierung und dem Bundesrat übergeben. Mit dem Bericht werden außerdem die Europäische Kommission und der Europäische Datenschutzausschuss über die Arbeit des BfDI unterrichtet. Sie werden als Bundestagsdrucksache veröffentlicht und können auch von der BfDI-Homepage heruntergeladen werden.

Datenschutzverstöße und Beschwerden

Den BfDI erreichten im vergangenen Jahr 9.263 Meldungen von Datenschutzverstößen und 491 Eingaben mit Bezug zum Informationsfreiheitsrecht. Bürgerinnen und Bürger wendeten sich mit 2.574 Beschwerden und 5.162 allgemeinen Anfragen an den Bundesdatenschutzbeauftragten. Im Vergleich zum Vorjahreszeitraum 2022 ist die Zahl der Datenschutzverstöße um knapp 10 Prozent zurückgegangen, während die Zahl der Beschwerden um etwa 20 Prozent gestiegen ist.

Empfehlungen des BfDI an die Bundesregierung wurden nur ansatzweise umgesetzt

Zu Beginn fasst der 32. Tätigkeitsbericht die Empfehlungen an die Bundesregierung zusammen, die an anderen Stellen im Detail ausgeführt werden. Aufgelistet wird auch der Stand der Umsetzung der Empfehlungen des 31. Tätigkeitsberichts. Von den zehn Hauptempfehlungen des letzten Berichts wurde keine einzige komplett umgesetzt.

Entwicklungen gibt es lediglich bei drei Empfehlungen zu vermelden: Die Bundesregierung hat mit den ersten Vorarbeiten zum geforderten Beschäftigtendatenschutzgesetz begonnen, der Referentenentwurf steht allerdings noch aus. Bei der geforderten grundrechtskonformen Überarbeitung des VO-Entwurfs zur Chatkontrolle hat das EU-Parlament einen Bericht verabschiedet, der viele der Kritikpunkte des BfDI enthält.  Die geforderte Zusammenlegung von Informationsfreiheitsgesetz und Umweltinformationsgesetz sowie die Weiterentwicklung zu einem Bundestransparenzgesetz ist noch nicht erfolgt, der BfDI ist aber in die laufenden Planungen für ein Bundestransparenzgesetz einbezogen.

Nicht aufgegriffen wurden dagegen die folgenden Empfehlungen:

  • Die Abschaltung der Facebook-Fanpages der Bundesregierung,
  • die Einsetzung einer Expertenkommission zum Einsatz von Künstlicher Intelligenz bei der Strafverfolgung und Gefahrenabwehr,  
  • die DSGVO-konforme Einführung von Datentreuhändern,
  • die Entwicklung eines schlüssigen Gesamtkonzepts für Personenüberprüfungen auf Bundesebene im Rahmen der Novellierung des Sicherheitsüberprüfungsgesetzes (SÜG),
  • die Abschaffung der wenig nutzbringenden Antiterrordatei und Rechtsextremismusdatei,
  • die gesetzliche Klarstellung der Zuständigkeit für Reservistinnen und Reservisten zwischen dem Bundesamt für den Militärischen Abschirmdienst (BAMAD) und dem Bundesministerium für Verteidigung (BfV)
  • sowie die Schaffung datenschutzkonformer Alternativen zur Einbindung von Videos mittels YouTube auf den Webseiten des Bundes.

Aktuelle Empfehlungen an die Bundesregierung

Die wichtigsten Empfehlungen des aktuellen 32. Tätigkeitsbericht betreffen

  • die elektronische Patientenakte (ePA) sowie die elektronische Gesundheitskarte (eGK),
  • die zeitnahe Schaffung einer nationalen KI-Aufsichtsstruktur, die Überarbeitung des VO-Entwurfs zur Chatkontrolle,
  • Nachbesserungen am EU-Entwurf für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO
  • sowie die Vorlage eines Entwurfs gesetzlicher Regelungen zum Beschäftigtendatenschutz.

Elektronische Patientenakte und elektronische Gesundheitskarte

Im Dezember 2023 wurde das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digitalgesetz, DigiG) beschlossen, das auch die Einführung einer widerspruchsbasierten elektronischen Patientenakte (ePA) für alle gesetzlich Versicherten vorsieht. Die Digitalisierung des Gesundheitswesens wird vom BfDI ausdrücklich begrüßt, allerdings äußert dieser bezüglich der geplanten Ausgestaltung der ePA „erhebliche datenschutzrechtliche Bedenken“.

Diese bestehen vor allem darin, dass ein Einwilligungsvorbehalt nach dem Gesetzentwurf nur für die Befüllung der ePA mit Daten aus genetischen Untersuchungen oder Analysen im Sinne des Gendiagnostikgesetzes vorgesehen ist. Der BfDI fordert hingegen, dass auch besonders schutzwürdige, höchstpersönliche Daten aus der informationellen Intimsphäre der Versicherten von der Pflichtbefüllung der ePA ausgenommen und unter einen Einwilligungsvorbehalt gestellt werden sollen. Dies gelte insbesondere für Daten, deren Bekanntwerden zu erheblichen Gefährdungen für die Rechte der Versicherten führen, etwa, weil sie Anlass zur Diskriminierung oder Stigmatisierung geben können. Dazu zählen Daten zu HIV-Infektionen, Schwangerschaftsabbrüchen oder psychischen Erkrankungen.

Aus Sicht des BfDI ist außerdem die Zustellung der elektronischen Gesundheitskarte (eGK) noch nicht sicher genug geregelt. Die eGK erhält durch das Digitalgesetz eine gesteigerte Bedeutung, weil sich ihr bloßes Vorhandensein in einer ärztlichen Praxis den uneingeschränkten Zugriff auf die ePA ermöglicht. Der BfDI ruft die Bundesregierung daher dazu auf, „eine Regelung zu treffen, dass eGKs nur sicher und persönlich zugestellt werden“. 

Beteiligung der Datenschutzbehörden an der nationalen KI-Aufsicht

Der BfDI sieht Künstliche Intelligenz (KI) als eine Schlüsseltechnologie, die „beeindruckende Möglichkeiten eröffnet“. Der Datenhunger der KI berühre aber nahezu alle Lebensbereiche, darunter auch sehr sensible Gebiete wie der Gesundheit. Ohne Vertrauen in die Integrität der Technologie und die Wahrung der persönlichen Daten werde eine nachhaltige KI-Entwicklung schwer zu erreichen sein. Es ist aus Sicht des BfDI deshalb eine „zentrale gesamtgesellschaftliche und politische Aufgabe, KI so zu gestalten, dass sie den Menschen und seine Rechte in den Mittelpunkt stellt und dabei gleichzeitig innovative Entwicklungen und einen breiten Einsatz in vielen Bereichen ermöglicht“. Das Thema KI bildet daher aktuell einen Schwerpunkt der Arbeit obersten Datenschutzaufsichtsbehörde.

In seinem 32. Tätigkeitsbericht empfiehlt der BfDI der Bundesregierung nachdrücklich, die nationale KI-Aufsichtsstruktur, die sich aus der KI-Verordnung der EU (AI Act), ergibt, zeitnah festzulegen und dabei nicht nur die vorhandene Expertise der Datenschutzbehörden zu nutzen, sondern diese auch als KI-Aufsichtsbehörden zu berücksichtigen.

Entwurf zur Chatkontrolle überarbeiten oder ablehnen

Der BfDI empfiehlt der Bundesregierung weiterhin, „auf eine erhebliche, grundrechtskonforme Überarbeitung des VO-Entwurfs zur Chatkontrolle [...] zu drängen“ oder „anderenfalls darauf hinzuwirken, den Verordnungsentwurf insgesamt abzulehnen“. Gemeint ist damit die CSAM-Verordnung (Child Sexual Abuse Material) der EU, die Anbieter von Kommunikationsplattformen zum Auffinden von Materialien des sexuellen Kindesmissbrauchs verpflichten will. Durch die Kontrolle von Nachrichten, Fotos und Videos sowie dem Abhören der Audiokommunikation sollen missbräuchliche Inhalte und Annäherungsversuche von Erwachsenen aufgedeckt werden. Nach Auffassung des BfDI bietet die geplante Chatkontrolle so gut wie keinen Schutz für Kinder, sondern ist „Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“. Außerdem respektiere der Verordnungsentwurf weder die Vorgaben zur Verhältnismäßigkeit noch Grundrechte, „die deutschen Bürgerinnen und Bürgern nach der EU-Grundrechte-Charta und nach dem Grundgesetz zustehen“.

Gesetzesregelungen zum Beschäftigtendatenschutz notwendig

Aus Sicht des BfDI reicht die Generalklausel, die in § 26 des Bundesdatenschutzgesetzes (BDSG) formuliert ist, nicht aus, um Beschäftigten einen hinreichenden Schutz ihrer Persönlichkeitsrechte zu bieten. Angesichts der fortschreitenden Digitalisierung und des zunehmenden Einsatzes Künstlicher Intelligenz (KI) sei die Generalklausel zu unbestimmt, lasse zu viel Interpretationsspielraum und sei nicht länger praktikabel. Auch müssten die Grenzen der Verhaltens- und Leistungskontrolle gesetzlich festgeschrieben werden. Der BfDI empfiehlt der Bundesregierung daher, zeitnah einen „Entwurf umfassender spezifischer Gesetzesregelungen zum Beschäftigtendatenschutz vorzulegen“.

BfDI-Nachfolge endlich geregelt

Die Kritik, die Ulrich Kelber in seinem 32. Tätigkeitsbericht an der Bundesregierung und deren teilweise zögerlichem und hinderlichem Verhalten übt, ist besonders brisant, da diese seine Amtszeit nicht verlängert hat. Kelber ist nach einer fünfjährigen Amtszeit seit Januar 2024 nur noch kommissarisch als BfDI tätig. Sein Jahresbericht kann daher auch als sein Vermächtnis an seine Nachfolge angesehen werden.

Statt die Nachfolge im Vorfeld schnell zu regeln, hat die SPD, der Kelber angehört, die Kandidatensuche an FDP und Grüne übertragen. Diese wurde dadurch zu einer quälenden Hängepartie. Einige geeignete Kandidaten lehnten ausdrücklich auch wegen des „fragwürdigen“ Umgangs mit dem bisherigen Amtsinhaber ab. Als im März 2024 immer noch keine Nachfolge gefunden war, protestierten namhafte Datenschutzorganisationen und bekannte Einzelpersonen in einem Offenen Brief für einen starken und unabhängigen Datenschutz gegen die „Beschädigung des Amtes des/der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)“. Darin heißt es unter anderem: „Nichts fügt dem Datenschutz in Deutschland jedoch einen größeren und nachhaltigeren Schaden zu als das verheerende Zeichen, dass der BfDI bei seinen unabhängigen Amtsgeschäften nicht sicher vor politischer Sanktion und damit vor politischer Einflussnahme sein kann. Es entsteht der Eindruck, der bisherige Amtsinhaber könnte sich eine mögliche zweite Amtszeit nicht durch den Einsatz für die Sache erarbeiten, sondern insbesondere durch politische Gefügigkeit.“

Die Nachfolgerin scheint nun endlich festzustehen: Am 15. April haben sich FDP und Grüne auf die parteilose Datenschutzrechtlerin Louisa Specht-Riemenschneider geeinigt, die als Professorin für Rechtswissenschaften an der Universität Bonn lehrt. Dort leitet sie auch die Forschungsstelle für Rechtsfragen neuer Technologien und Datenrecht. Auch ist sie derzeit Vorsitzende des Sachverständigenrats für Verbraucherfragen beim Umweltministerium (BMUV) und war Vorsitzende des Digitalbeirates beim Bundesministerium für Digitales und Verkehr (BMDV). Specht-Riemenschneider muss von Innenministerin Nancy Faeser dem Bundeskabinett jetzt noch offiziell vorgeschlagen und dann vom Bundestag mehrheitlich bestätigt werden, bevor sie ihr Amt als BfDI antreten kann.

Schlagworte zum Thema:  Datenschutz, Datenschutzbeauftragter, Bundestag
Meistgelesene beiträge
Neueste beiträge