Suchen

Rückblick 2019 Die wichtigsten Datenschutz-Themen

| Autor: Susanne Ehneß

Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass die unabhängigen Datenschutzaufsichtsbehörden jährlich über ihre Tätigkeiten berichten. Der Bundesdatenschutzbeauftragte Ulrich Kelber hat nun seinen Tätigkeitsbericht für das Jahr 2019 vorgelegt.

Die Themen Datenschutz und DSGVO waren auch 2019 beratungsintensiv
Die Themen Datenschutz und DSGVO waren auch 2019 beratungsintensiv
(© Trueffelpix - stock.adobe.com)

Wie Ulrich Kelber betont, war das Thema „Künstliche Intelligenz“ (KI) und dessen Bedeutung für den Datenschutz im vergangenen Jahr ein Schwerpunkt seiner Arbeit. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) legte mit der „Hambacher Erklärung zur Künstlichen Intelligenz“ ein Grundsatzpapier mit den wichtigsten datenschutzrechtlichen Anforderungen vor. In bewusster Anlehnung an die auf dem Hambacher Fest 1832 erhobenen Forderungen nach Freiheit und Demokratie betonte die DSK, dass der Einsatz Künstlicher Intelligenz dem Menschen und seinen Grundrechten und Grundfreiheiten verantwortlich sein muss.

Diese Grundsätze wurden laut Kelber auch im Gutachten der von der Bundesregierung eingesetzten Datenethikkommission (DEK) festgeschrieben. Die DEK hat in 75 Handlungsempfehlungen für die Bundesregierung unter anderem mehr Transparenz für die Verbraucher und eine wirksame Algorithmenkontrolle gefordert.

Das Thema KI wird Kelber langfristig beschäftigen. Wie Kelber in seinem Tätigkeitsbericht ausführt, machte auch die 41. Internationale Datenschutzkonferenz, die im Oktober 2019 in Tirana/Albanien stattfand, die Künstliche Intelligenz zu einem der Arbeitsschwerpunkte für die nächsten Jahre. „Darüber hinaus beschlossen die rund 120 unabhängigen Datenschutzbehörden aus mehr als 80 Ländern eine ‚Resolution zur Bedeutung des Datenschutzes als Grundrecht und als Voraussetzung für die Wahrnehmung weiterer Grundrechte‘“, so Kelber. Darin wird an die Regierungen weltweit appelliert, Datenschutz als Grundrecht anzuerkennen und in ihren nationalen Gesetzgebungen zu verankern.

Datenschutz bleibt Topthema

Das Thema Datenschutz ist ein Querschnittsthema, und „dementsprechend gab es erneut viel zu tun“, wie Kelber betont. In Deutschland sei es hier vor allem um die Beratung und Begleitung in der Gesetzgebung gegangen: „Abgesehen von dem sogenannten Omnibusgesetz zur Datenschutz-Grundverordnung (DSGVO) war in diesem Jahr – neben der erneut ausufernden Gesetzgebung im Sicherheitsbereich – besonders der Gesundheitsbereich arbeitsreich. Allein aus dem Bundesgesundheitsministerium (BMG) kamen 23 Gesetzentwürfe mit zum Teil gravierenden datenschutzrechtlichen Herausforderungen“, führt der Datenschützer aus.

eHealth-Themen

Themen aus dem Gesundheitsbereich waren beispielsweise die „nach wie vor ungelösten Probleme bei der Telematikinfrastruktur und dem Rechtemanagement der elektronischen Patientenakte“, die sehr beratungsintensiv gewesen seien. „Der Druck aus dem BMG, die ePatientenakte möglichst schnell flächendeckend einzuführen, führt von dort aus zum Verzicht auf lange bekannte und grundlegende Datenschutzregelungen. Das hat in diesem besonders sensiblen Datenbereich fatale Folgen für die Patientinnen und Patienten“, mahnt Kelber.

Auch der aus seiner Sicht oft laxe Umgang mit Patientendaten in den Implantate- und Datentransparenzregistern habe zu einer Vielzahl von Beratungsgesprächen mit den Beteiligten geführt.

Geldbußen

Die Beratung und Kontrolle der von Kelber beaufsichtigten Behörden und Unternehmen war 2019 ebenfalls ein Schwerpunkt. „Dabei steht für mich die Beratung und Information immer an erster Stelle. Dies ist sicher einer der Gründe dafür, warum die Verhängung von Geldbußen eine Ausnahme, nicht die Regel bei Verstößen gegen die DSGVO ist“, sagt Kelber. Dennoch habe es 2019 die ersten größeren Geldbußen gegeben.

Immer wiederkehrende Themen gerade bei den Beschwerden von Bürgern seien die Fragen zur Einwilligung in die Datenweitergabe und zur Datenminimierung. „Die Frage, welche Daten überhaupt gesammelt werden dürfen und wie lange sie gespeichert werden, ist ein Dauerthema bei allen Datenschutzaufsichtsbehörden. Das Ziel der Datenminimierung wird in Behörden und Unternehmen nicht immer zufriedenstellend umgesetzt“, moniert Kelber.

In der DSK und im Europäischen Datenschutzausschuss (EDSA) habe man nun Vorschläge für die Weiterentwicklung der DSGVO gemacht – als Teil des Evaluierungsprozesses durch die EU-Kommission. „Wir wollen Vereine und kleinere Unternehmen bei den Informations- und Dokumentationspflichten entlasten, bessere Regelungen beim Profiling und Scoring etablieren und sehen Weiterentwicklungsbedarf bei der Behandlung großer grenzüberschreitender Fälle“, erläutert der Bundesdatenschützer.

US-Konzerne

„Leider warten die Bürgerinnen und Bürger, aber auch ich, noch immer auf erste Entscheidungen zu Datenschutzbeschwerden gegen die großen US-Internetkonzerne“, so Kelber. Diese hätten fast ausnahmslos ihre europäischen Zentralen in Irland oder Luxemburg, wo in den letzten 20 Monaten von den dortigen Datenschutzaufsichtsbehörden noch keine grenzüberschreitende Beschwerde in den zentralen Punkten abschließend bearbeitet wurde. Das sei „schwer verständlich und mehr als ärgerlich“.

Empfehlungen

Bundesdatenschützer Ulrich Kelber
Bundesdatenschützer Ulrich Kelber
(© Bundesregierung/Kugler)

Kelber hat in seinem Bericht auch Empfehlungen formuliert. Er rät den öffentlichen Stellen des Bundes, personenbezogene Daten per eMail grundsätzlich nur verschlüsselt zu versenden. Ein unverschlüsselter Datenversand sei bei sensiblen Daten „auch dann nicht rechtmäßig, wenn vorher eine entsprechende Einwilligungen des Empfängers eingeholt wurde, da diese in der Regel nicht datenschutzkonform erteilt werden kann“, schreibt der Bundesbeauftragte. Nationale Vorschriften, die einen unverschlüsselten eMail-Versand legitimierten, seien darüber hinaus nicht konform mit der DSGVO.

Zudem plädiert er für einen „diskriminierungsfreien Zugriff auf Fahrzeugdaten und im Fahrzeug generierte Daten über eine sichere Telematikplattform im Fahrzeug“.

Hinsichtlich der Patientenakte plädiert er für die Implementierung eines differenzierten Rollen- und Rechtemanagements.

Zu den weiteren Empfehlungen des 28. Tätigkeitsberichts zählt unter anderem, „ein Sicherheitsgesetzmoratorium auszusprechen und einen Evaluationsprozess der sicherheitsbehördlichen Eingriffskompetenzen einzuleiten“.

Zugleich wird im Bericht auf den Stand der Umsetzungen von Empfehlungen aus dem 27. Tätigkeitsbericht eingegangen. Danach hat der Gesetzgeber die Empfehlung, „Sanktionsbefugnisse für den BfDI auch im Bereich der Nachrichtendienste einzuführen“, bislang ebenso nicht aufgegriffen wie die Empfehlung, "angesichts des festgestellten geringen Nutzwerts von Antiterrordatei und Rechtsextremismusdatei diese abzuschaffen".

Den kompletten Tätigkeitsbericht gibt es online als PDF.

(ID:46676667)