Sie sind hier: > Start > Tätigkeitsberichte > 33. TB 2023 > 1. Überblick
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2023
1. Überblick
1.1. Digitalisierung und Datenschutz gehören zusammen wie zwei Seiten einer Medaille
Im Dezember 2018 veröffentlichte ein Hacker namens "Orbit" in einer Art "Adventskalender" bei Twitter täglich neue Daten über Politiker, Journalisten und anderen Prominente. Der Kalender enthielt Telefonnummern, Adressen, teilweise auch Ausweiskopien und private Fotos. Die Veröffentlichungen hatten erhebliche Auswirkungen auf die betroffenen Personen, insbesondere Politikerinnen und Politiker, die vielfachen Hetz- und Drohanrufen ausgesetzt waren. Nach Einschätzung der Strafverfolgungsbehörden hatte der später gefasste Täter keine besonderen technischen Fähigkeiten, sondern gelangte vor allem mit Fleiß und Ausprobieren an die personenbezogenen Daten seiner Opfer.
Auch wenn "Orbit" gefasst und gerichtlich verurteilt wurde, ist der Fall nach wie vor aktuell, wie zahlreiche Fälle externer Angriffe auf IT-Systeme bayerischer öffentlicher Stellen unterstreichen, von denen ich insbesondere durch Meldungen nach Art. 33 DSGVO erfahren habe. Der Fall zeigt: Digitalisierung geht nicht ohne ein Mindestmaß an Datenschutz. Gemeint sind damit allerdings nicht nur allgemeine Vorgaben der IT-Sicherheit, sondern auch der Schutz von Informationen über natürliche Personen.
Digitalisierungsdebatten sind gegenwärtig häufig von der Zielvorstellung "Datenschätze heben" geprägt. Datenschutz und Datensicherheit werden mitunter als Innovationsbremsen wahrgenommen. Dabei schwingt die Wertung mit, dass die einschlägigen Anforderungen rigide zurückgeschnitten werden sollten, um endlich einer ungehemmten Nutzung auch personenbezogener Daten den Weg zu bahnen.
Aus datenschutzrechtlicher Sicht halte ich Ansätze dieser Art in vielerlei Hinsicht für problematisch. Bevor ich in den nachfolgenden Kapiteln über einzelne Bereiche meiner Tätigkeit berichten werde, möchte ich deshalb zunächst an einige zentrale datenschutzrechtliche Rahmenbedingungen der Digitalisierung erinnern:
1.1.1. Datenschutz ist nicht frei verfügbar
Wünsche nach dem Rückbau "lästiger" Datenschutzbestimmungen übergehen allzu oft den Umstand, dass Datenschutz grundrechtlich fundiert und in der Verfassung des Freistaats Bayern, im Grundgesetz und in der Charta der Grundrechte der Europäischen Union fest verankert ist. Das nationale Grundrecht auf informationelle Selbstbestimmung ist ebenso wie das europäische Datenschutzgrundrecht ein integraler Bestandteil des (grund)rechtsstaatlichen Freiheitsversprechens. Sowohl im Hinblick auf öffentliche Interessen als auch im Hinblick auf ökonomische Interessen dürfen diese Grundrechte nicht beliebig, sondern nur entlang der verfassungsrechtlichen Vorgaben eingeschränkt werden. Dem dienen zuvorderst die Datenschutz-Grundverordnung und zahlreiche Datenschutzvorschriften des mitgliedstaatlichen Rechts. Der Gesetzgeber kann insbesondere die Verarbeitung personenbezogener Daten zu Gemeinwohlzwecken (nur) im Rahmen der Verhältnismäßigkeit gestatten. Die Grundrechte strukturieren ein Konzept der Digitalisierung und Datennutzung, bei dem das Individuum im Mittelpunkt steht - als mündige Bürgerin oder mündiger Bürger, die oder der souverän über die Verwendung der eigenen Daten entscheidet.
Und ja: Es gibt personenbezogene Daten, die einen Menschenwürdebezug haben und deshalb nach unserem Verfassungsrecht unantastbar sind. Solche personenbezogenen Daten darf selbst der Gesetzgeber nicht ohne oder gar gegen den Willen der betroffenen Personen für Verarbeitungen freigeben.
1.1.2. Paradigmenwechsel von der datenschutzrechtlichen Einwilligung zum Widerspruchsmodell
Was die datenschutzrechtliche Gestaltung digitalisierter Datennutzungen betrifft, ist gegenwärtig ein Paradigmenwechsel zu beobachten: Während bislang oft betroffene Personen mit ihren Einwilligungen Datennutzungen legitimierten, werden zunehmend "Widerspruchslösungen" etabliert. Dabei erscheint die digitalisierte Datennutzung als "Normalfall"; von einer betroffenen Person, die etwas anderes möchte, wird "Aktivwerden" erwartet. Die Begründung lautet meist, man wolle den bürokratischen Aufwand durch Einwilligungen vermeiden und damit - bei den Verantwortlichen - auch Kosten senken. Teilweise wird ohne näheren Nachweis behauptet, ohne solche "Widerspruchslösungen" sei Digitalisierung nicht möglich.
Tatsächlich bedeutet der Paradigmenwechsel vom Einwilligungs- zum Widerspruchsmodell: Gerade als Patientin oder Patient, als Verbraucherin oder Verbraucher kann sich eine betroffene Person künftig bei digitalisierten Datennutzungen immer weniger darauf verlassen, noch gefragt zu werden - selbst wenn es um hochsensible Daten geht. Sie wird immer häufiger selbst die Initiative ergreifen müssen, um von einer ihr unerwünschten Verarbeitung personenbezogener Daten überhaupt zu erfahren und sie dann zu unterbinden. In manchen Fallkonstellationen mag ein solches Widerspruchsmodell sachgerecht sein, bei einem generellen Paradigmenwechsel droht aber eine Entwertung der Datenschutzgrundrechte. Das ist insbesondere dann problematisch, wenn ein Gesetzgeber legitime individuelle Vertraulichkeitsinteressen nicht angemessen berücksichtigt.
So befindet sich auf Unionsebene das Gesetzgebungsverfahren für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS-Verordnung) in einem vorgerückten Stadium. Die Regelung wird voraussichtlich das traditionsreiche Patientengeheimnis zugunsten der Sekundärnutzung von Gesundheitsdaten außerhalb des Behandlungsverhältnisses infrage stellen. Patientinnen und Patienten sollen künftig nicht mehr um ihre Einwilligung gefragt werden müssen, wenn es um die pseudonymisierte Sekundärnutzung ihrer Gesundheitsdaten geht. Selbst bei psychotherapeutischen Behandlungen könnten Behandlungsdaten beispielsweise auch für die Weiterentwicklung von kommerziellen Gesundheitsdienstleistungen oder Medizinprodukten genutzt werden dürfen. Patientinnen und Patienten bliebe nur noch die Möglichkeit, gegen eine solche Nutzung zu intervenieren. Viele werden den Aufwand scheuen, auch aus der Befürchtung, ein Vertrauensverhältnis zur Behandlerin oder zum Behandler könnte Schaden nehmen. Bereits heute weisen Patientinnen und Patienten in Eingaben bei mir nicht selten darauf hin, dass sie beim Gebrauch von Datenschutzrechten im medizinischen Bereich Nachteile bei der Versorgungsqualität befürchten.
Nach meinen Eindrücken aus dem Gesetzgebungsverfahren hat sich die Bundesregierung nicht mit dem gebotenen Nachdruck für eine grundrechtsfreundlichere Lösung eingesetzt, obwohl solche Lösungen durchaus diskutiert wurden und hierfür auch eine geeignete IT-Unterstützung bereitstünde. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat bereits mit ihrer Stellungnahme vom 27. März 2023 auf das Problemfeld aufmerksam gemacht (ohne Hervorhebungen des Originaltextes):
Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. März 2023
Nutzung von Gesundheitsdaten braucht Vertrauen
Der Europäische Gesundheitsdatenraum darf das Datenschutzniveau der Datenschutz-Grundverordnung nicht aushöhlen
Die betroffenen Personen müssen darauf vertrauen dürfen, dass bei der Verarbeitung ihrer personenbezogenen Daten die Regelungen der europäischen Datenschutz- Grundverordnung (DS-GVO) und ihre Grundrechte nach Artikel 7, 8 der Charta der Grundrechte der Europäischen Union (GRCh) gewahrt bleiben, wie von der EU-Kommission in der Datenstrategie aus dem Jahr 20201 ausdrücklich zugesagt.
Auf Grundlage dieser Datenstrategie hat die EU-Kommission bisher mehrere Datengesetze initiiert, um zum gesamtgesellschaftlichen Vorteil einen Binnenmarkt für Daten zu schaffen. Zu einem ersten sektorenspezifischen Datenraum hat sie im Mai 2022 einen Verordnungsentwurf (EHDS-VO-E2) zur Schaffung und Regulierung eines Europäischen Gesundheitsdatenraums (European Health Data Space - EHDS) vorgestellt.
Der Entwurf der EHDS-Verordnung enthält Regelungen zur europaweiten Primärnutzung der elektronischen Gesundheitsdaten, um bei Gesundheitsversorgung auch auf Informationen aus den Systemen der anderen Mitgliedsstaaten zugreifen zu können. Von wesentlicher Bedeutung ist darüber hinaus die Regulierung der Sekundärnutzung von elektronischen Gesundheitsdaten, vor allem für Zwecke der Forschung, die u. a. eine zentrale Zugangsstelle vorsieht, die den Zugang zu den elektronischen Gesundheitsdaten vermittelt.
Diese Regelungen dürften als Blaupause für weitere Datenräume im Europäischen Raum dienen. Neben der Tatsache, dass im EHDS besonders sensible Daten verarbeitet werden, unterstreicht diese "Vorreiterrolle" die besondere Bedeutung der EHDS-VO.
Für die Errichtung des EHDS ist das Grundrecht auf Datenschutz bzw. auf informationelle Selbstbestimmung u. a. mit dem öffentlichen Interesse an wissenschaftlicher Forschung in einen angemessenen Ausgleich zu bringen.3 Hier greift der Verordnungsentwurf allerdings deutlich zu kurz.
A. Grundsätzliche Erwägungen
Betroffenenrechte
Die DSK begrüßt das Regulierungsvorhaben, soweit es die Rechte der betroffenen Patientinnen und Patienten bei der Primärnutzung von elektronischen Gesundheitsdaten - insbesondere die Portabilität - aufwertet. Sie erkennt an, dass für die grenzüberschreitende Behandlung, für Forschungszwecke sowie für öffentliche Zwecke von hoher Bedeutung Datenzugangsrechte geschaffen werden sollen. Gleichzeitig gilt insbesondere im Rahmen der Sekundärnutzung: Der Mensch muss erkennbar im Mittelpunkt stehen. Daraus folgt, dass diejenigen, deren personenbezogene Daten den wissenschaftlichen und wirtschaftlichen Mehrwerten zugrunde liegen, eingebunden sein und ihre Rechte aus der DS-GVO auf einfache Weise und granular realisieren können müssen. Ausschlüsse oder Beschränkungen von Betroffenenrechten müssen mit den Grundrechten vereinbar sein. Die Betroffenenrechte der DS-GVO dürfen nicht verkürzt werden.
Die betroffenen Personen müssen eine effektive Kontrolle über die Verarbeitung ihrer personenbezogenen Daten behalten. Hierfür sind präzise und leicht verständliche Informationen der Verantwortlichen elementar. Sämtliche Übermittlungswege und Verarbeitungsprozesse müssen für die Betroffenen transparent sein.
Rechtsklare Regelungen
Es bedarf rechtsklarer Regelungen, die erkennen lassen, ob und in welchem Umfang die Verarbeitung personenbezogener Daten umfasst und zulässig ist. Die Regelungen müssen konform mit den Grundrechten sein, wonach wesentliche Festlegungen, insbesondere zu Umfang, Art und Zwecken der Datenverarbeitungen, in der Verordnung selbst zu treffen sind.
Technische und organisatorische Maßnahmen
Die Verarbeitung der Gesundheitsdaten unterliegt nach der DS-GVO einem hohen Schutzbedarf, der in den technischen und organisatorischen Maßnahmen umzusetzen ist. Dazu gehören auch die Ende-zu-Ende-Verschlüsselung, die Pseudonymisierung bzw. die Anonymisierung sowie ein wirksames Löschkonzept.
Der EHDS-VO-E lässt bisher jedoch offen, wie die Daten anonymisiert werden können. Eine rechtsklare Regelung der Anforderungen an Methoden und Wirkungen der Anonymisierung könnte die rechtssichere Datennutzung unterstützen.
Die betroffenen Personen haben ein Recht auf sichere und vertrauliche Verarbeitung ihrer Gesundheitsdaten. Da sich bei der Verarbeitung von Gesundheitsdaten Risiken nicht gänzlich ausschließen lassen, sind geeignete Garantien mit Transparenz und durch Anwendung von Methoden im Sinne von "Data Protection by Design" und "Data Protection by Default" vorzusehen. Beispielsweise muss es den betroffenen Personen mittels digitaler Management-Systeme möglich sein, ihre elektronischen Gesundheitsdaten auch im EHDS unter angemessenen technischen und rechtlichen Bedingungen kontrollieren zu können.
B. Verhältnis zu anderen Rechtsakten, Begriffe und Datenkategorien
Gewährleistung des DS-GVO-Schutzniveaus
Die Vorgaben der DS-GVO zu Datenschutz und Datensicherheit dürfen durch die EHDS-VO nicht ausgehöhlt werden; sie sind Grundlage für das Vertrauen der betroffenen Personen. Die datenschutzrechtlichen Grundsätze, wie der Grundsatz der Datenminimierung, der Datenrichtigkeit, der Speicherbegrenzung, der Integrität und Vertraulichkeit und das Erforderlichkeitsprinzip müssen gewährleistet werden. Es ist klarzustellen, dass die EHDS-VO-E den Rechtsrahmen der DS-GVO respektiert, die dort vorgesehenen Regelungsräume also nutzt, aber nicht das Schutzniveau unterläuft.
Gerade bei besonders schützenswerten Gesundheitsdaten dürfen die grundrechtlich garantierten und in der DS-GVO vorgesehenen Betroffenenrechte nicht entwertet werden. Dies gilt auch für die Sekundärnutzung von elektronischen Gesundheitsdaten; hier ist bisher nicht erkennbar, ob und, wenn ja, inwieweit nach dem Regelungsentwurf den Betroffenen überhaupt Rechte zustehen sollen.
Verhältnis zu weiteren Rechtsakten
Zudem muss sich die EHDS-VO hinsichtlich der Begriffe und Definitionen sowie des Anwendungsbereichs kohärent und konsistent in das Regelungssystem der weiteren Rechtsakte wie des Data Governance Act, des Data Act und des Artificial Intelligence Act einfügen.
Im Bezug zur JI-Richtlinie4 wird an die Problematik erinnert, die bei elektronischen Datensammlungen entsteht. Insbesondere dürfen den Strafverfolgungsbehörden durch die EHDS-VO keine Zugriffsrechte auf gesundheitsbezogene Daten ermöglicht werden. Dies ist durch eine klare Zweckbindungsregelung sicherzustellen.
Datenkategorien
Außerdem müssen die in Artikel 33 EHDS-VO-E genannten Datenkategorien begrenzt werden: Da die EHDS-Verordnung ermöglichen soll, elektronische Gesundheitsdaten für die Förderung der individuellen Gesundheit und der öffentlichen Gesundheit, insbesondere im Rahmen von Forschungsvorhaben, bereitzustellen, sollten auch nur hierfür geeignete personenbezogene Daten vom Anwendungsbereich der Verordnung umfasst sein. Die Datensätze insbesondere aus Wellness-Anwendungen sind aus dem Anwendungsbereich der EHDS-VO zu entfernen, da der Erkenntnisgewinn unklar bleibt. Diese Daten bieten voraussichtlich nicht die erforderliche Richtigkeitsgewähr und Qualität und können zugleich mit einer hohen Eingriffsintensität hinsichtlich des Verhaltens der betroffenen Personen verbunden sein. Die Aufnahme von Daten zu gesundheitsrelevanten Faktoren, einschließlich sozialer, umweltbedingter und verhaltensbezogener Gesundheitsfaktoren, Lebensstil, Wohlbefinden und Verhaltensdaten, ist ebenfalls kritisch zu sehen. Ihre Verarbeitung sollte nur für näher zu bestimmende Zwecke zugelassen werden. Die Regelung zur Bereitstellung von persönlichen Genomdaten greift in den intimsten Bereich der betroffenen Personen und ihrer Angehörigen ein und ist daher von Grundrechts wegen zu streichen.
C. Datenverarbeitung zum Primärzweck und Electronic Health Record (EHR)-Systeme
Primärzweck: Behandlung
Die Patientensouveränität darf durch die neuen europaweiten Regelungen nicht eingeschränkt werden. Die Datenverarbeitung für den Primärzweck, also der medizinischen Behandlung, ist nur mit der effektiven Kontrollmöglichkeit und einer aktiven Mitwirkung der betroffenen Personen, also der Patientinnen und Patienten zulässig. Es muss sichergestellt sein, dass sie über Verarbeitungsvorgänge und insbesondere - zur Wahrung des Patientengeheimnisses - über Übermittlungen an andere verantwortliche Stellen informiert und damit einverstanden sind.
EHR-Systeme
Electronic Health Record-Systeme (EHR-Systeme), d. h. Geräte oder Software, die vom Hersteller dazu bestimmt sind, elektronische Patientenakten zu speichern, zu vermitteln, zu importieren, zu exportieren, zu konvertieren, zu bearbeiten oder anzuzeigen, müssen von einer unabhängigen Stelle unter Beteiligung der Datenschutz-Aufsichtsbehörden zugelassen werden, bevor sie in Betrieb genommen werden, damit die nötigen hohen Anforderungen an die Sicherheit und die Ausgestaltung der Datenverarbeitung erfüllt sind. Sie müssen eine sichere Ende-zu-Ende-Verschlüsselung gewährleisten und Anonymisierungs- und Pseudonymisierungskomponenten enthalten. Technische und organisatorische Maßnahmen, wie die Authentifizierung, müssen ein hohes Sicherheitsniveau gewährleisten. Das Management des EHR-Systems muss effektiv und granular ausgestaltet sein und auch solchen betroffenen Personen zur Verfügung stehen, die keine vertieften Digitalkenntnisse oder keine mobilen Endgeräte haben. Insbesondere müssen die Patientinnen und Patienten Nutzungsbeschränkungen und Berechtigungen auf leichte Art und barrierefrei einrichten können.
Die Zugriffsstrukturen im EHR-System haben dem bei Gesundheitsdaten vermuteten hohen Risiko für die Rechte und Freiheiten natürlicher Personen Rechnung zu tragen, sodass das Risiko eines Missbrauchs, insbesondere mit zeitlich beschränkbaren Zugangsrechten je nach Erforderlichkeit kontinuierlich minimiert wird. Der Zugriff im Notfall muss auf einen definierten, strukturierten und begrenzten Datensatz erfolgen, um wirksam zu sein. Um den Zugriffschutz des restlichen EHR-Systems nicht zu unterlaufen, muss der Notfalldatensatz technisch getrennt vorgehalten werden.
D. Datenverarbeitung zu weiteren Zwecken (Sekundärnutzung)
Paradigmenwechsel und Patientensouveränität
Der EHDS-VO-E bedingt einen Wechsel der relevanten Grundlage für die Sekundärnutzung von erheblicher Tragweite. Es werden umfangreiche gesetzliche Nutzungsrechte vorgesehen, die in die Rechte der Betroffenen eingreifen. Um den Kernbereich der Grundrechte zu gewährleisten, sind daher die Betroffenen in geeigneter Weise einzubinden, auch dann, wenn auf eine aus datenschutzrechtlicher Sicht vorzuziehende Zustimmung (Opt-in) verzichtet wird, z. B. indem zumindest ein niederschwelliges Widerspruchsrecht (Opt-out) vorgesehen wird. Zur Verwaltung von Widerspruch oder Zustimmung zu bestimmten Datenverarbeitungen oder Zwecken sollten digitale Managementsysteme verwendet werden.5
Außerdem müssen zu den in Artikel 34 EHDS-VO-E genannten Zwecken entsprechende Garantien und Bedingungen im Sinne von Artikel 9 Abs. 2 DS-GVO festgelegt werden. Der Grundsatz der Verhältnismäßigkeit erfordert, dass, je sensibler persönliche Daten sind, umso strenger auch die Anforderungen an deren Verarbeitung sein müssen.
Der Zielsetzung des EHDS als Förderungsinstrument für die wissenschaftliche Forschung und die öffentlichen Interessen entsprechend muss die sekundäre Datennutzung stets dem Allgemeinwohlinteresse dienen. Die im EHDS-VO-E ausgewiesenen Zwecke müssen im Einklang mit den Vorgaben der DS-GVO für besonders zu schützende Daten stehen und durch entsprechende Garantien flankiert werden. Insbesondere muss die sachgerechte Prüfung der Anträge auf zulässige Zwecke und den erforderlichen Datenumfang sichergestellt sein; eine automatische Zulassung einer Datennutzung nach Ablauf der Antragsbearbeitungsfrist ist unzulässig.
Einwilligungsbasierte neben gesetzlich geregelter Forschung
Einwilligungsbasierte Forschung wie in klinischen Studien muss unabhängig von der EHDS-Verordnung bestehen bleiben. Die freiwillige datenschutzrechtliche Einwilligung als Grundlage für die Datennutzung kann dem hohen Gut des Rechts auf informationelle Selbstbestimmung unmittelbar Ausdruck verleihen.
Spezifische Dateninhaber
Der Begriff des Dateninhabers muss klargestellt und begrenzt werden. Dabei sind auch die Rechtsverhältnisse der Dateninhaber mit den jeweiligen betroffenen Personen und die sich aus entsprechenden Vertrauensverhältnissen ergebenden Schweigepflichten wie Arztgeheimnis, Berufsgeheimnis, Sozialgeheimnis, aber auch Geschäftsgeheimnisse zu berücksichtigen.
Dateninfrastruktur und Zugangsstelle für elektronische Gesundheitsdaten
Die Datenverarbeitungen in der Dateninfrastruktur und bei der Zugangsstelle für die elektronischen Gesundheitsdaten müssen den technischen und organisatorischen Maßgaben der DS-GVO entsprechend ein hohes Sicherheitsniveau umsetzen. Die Aufgaben und die Verfahren bei der Zugangsstelle müssen so konzipiert sein, dass insbesondere die Grundsätze der Datenminimierung und Erforderlichkeit gewahrt werden und die noch einzuräumenden Betroffenenrechte barrierefrei ausgeübt werden können. Die Aufgaben sollten daher auf verschiedene Verantwortliche aufgeteilt werden. So müssen unabhängige Vertrauensstellen die Aufgabe der Pseudonymisierung übernehmen, während die Zugangsstellen die Koordinierung und Verwaltung der Dateninfrastruktur und die Bearbeitung der Antragsverfahren übernehmen. Für die Bereitstellung der Daten in einer sicheren Verarbeitungsumgebung können auch unabhängige Treuhandplattformen eingerichtet werden.
Dabei sind die datenschutzrechtlichen Verantwortlichkeiten aller beteiligten Stellen lückenlos festzulegen, damit betroffene Personen ihre Datenschutzrechte wirksam ausüben können.
Die im Entwurf der Kommission vorgesehene zentrale Zusammenführung von Klardaten, also von Datensätzen mit identifizierenden Angaben, bei der Zugangsstelle birgt hohe Risiken und ist unzulässig. Die Daten sind vor der anlassbezogenen und temporären Zusammenführung zu pseudonymisieren oder zu anonymisieren.6
1 Europäische Kommission, Mitteilung COM(2020) 66: "Eine europäische Datenstrategie" vom 19. Februar 2020.
2 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über einen europäischen Raum für Gesundheitsdaten vom 3. Mai 2022 (2022/0140).
3 Vgl. hierzu auch: EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space vom 12. Juli 2022.
4 Richtlinie EU 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016.
5 Petersberger Erklärung der DSK zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung vom 24.11.2022, S. 7.
6 Vgl. Seite 3 Ziffer 3 Satz 1 der Petersberger Erklärung der DSK zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung vom 24.11.2022.
Nach Artikel 8 Abs. 2 Satz 1 Charta der Grundrechte der Europäischen Union dürfen personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Nach diesem grundrechtlichen Konzept bringt die Einwilligung die informationelle Selbstbestimmung der betroffenen Person unmittelbar zur Geltung. Der Gesetzgeber kann andere Lösungen nur entwickeln, wenn er dabei das informationelle Selbstbestimmungsrecht der betroffenen Personen angemessen berücksichtigt. Personenbezogene Daten sind nicht frei verfügbar.
1.1.3. Datenschutz fördert und fordert Digitalisierung
An einer konsequenten Umsetzung datenschutzrechtlicher Vorgaben durch den Gesetzgeber und die Verwaltung führt aus grundrechtlicher Sicht kein Weg vorbei.
Eine durchdachte Implementierung von Datenschutz setzt gerade im Bereich der technisch-organisatorischen Maßnahmen voraus, dass die verantwortlichen Stellen bereits bei der Planung von Digitalisierungsvorhaben prüfen, wie sich Nutzerfreundlichkeit und Vertrauenswürdigkeit von digitalen Verwaltungsdienstleistungen verbinden lassen. Als Datenschutz-Aufsichtsbehörde verkenne ich nicht, dass guter Datenschutz eine Herausforderung bei der Digitalisierung ist. Der verbundene Aufwand lohnt aber. Nutzerinnen und Nutzer werden viel eher bereit sein, sich auf digitale Angebote öffentlicher Stellen einzulassen, wenn sie sicher sein können, dass ihre Daten dort in guten Händen sind und nicht irgendwann auf irgendeine Weise zu ihrem Nachteil verwendet werden.
Ohne die in der Datenschutz-Grundverordnung verankerten zentralen Datenschutzgrundsätze insbesondere der Rechtmäßigkeit, Transparenz, Zweckbindung, Integrität und Vertraulichkeit werden Digitalisierungsvorhaben auf nur wenig Akzeptanz bei den Bürgerinnen und Bürgern treffen. Zudem hat der öffentliche Sektor bei der Digitalisierung eine besondere Vorbildfunktion und steht deshalb mehr "unter Beobachtung" als manche Unternehmen. Die viel beschworene "Datensouveränität" der Menschen setzt voraus, dass sie sich im Verhältnis zur öffentlichen Hand stets als Subjekt fühlen können. Besonders vulnerable Bevölkerungsgruppen müssen zudem auch weiterhin einen besonders starken Schutz genießen.
1.2. Künstliche Intelligenz: Sind wir vorbereitet?
1.2.1. Was ist Künstliche Intelligenz (KI)?
Vereinfacht ausgedrückt meint KI eine Technik, die es Maschinen ermöglicht, ähnlich wie Menschen zu lernen und zu "denken". Bei KI-Systemen, die mit Verfahren des maschinellen Lernens arbeiten, geben Entwicklerinnen und Entwickler nur bestimmte Rahmenbedingungen vor, zum Beispiel eine konkrete Aufgabe. Das KI-System ermittelt daraufhin selbständig eine Lösung. Allerdings sind KI-Anwendungen auf unzählige Daten angewiesen, um daraus ihre Vorgehensweise abzuleiten.
Die sogenannte "schwache" KI ist längst im Alltag angekommen. Typische Internetfunktionalitäten wie etwa die Autokorrektur, personalisierte Empfehlungssysteme und Übersetzungsprogramme werden mittlerweile regelmäßig zumindest von KI-Anwendungen unterstützt. Auch Spam-Filter und sonstige Maßnahmen der IT-Sicherheit beruhen heute zum Teil auf KI-Methoden.
Im Berichtszeitraum hat auch die bayerische öffentliche Verwaltung zunehmend die textgenerierende Künstliche Intelligenz in den Blick genommen. So können Chatbots menschenähnliche Konversationen führen und sollen deshalb eingesetzt werden, um Bürgeranfragen in natürlicher, verständlicher Sprache zu beantworten. Dafür greifen Chatbots auf umfangreiche Textdatenbanken zu.
Von öffentlichen Stellen wohl noch nicht ganz so häufig genutzt wird bislang die bildgenerierende KI. Sie kann beispielsweise aus Textbeschreibungen Bilder, Grafiken oder Illustrationen erzeugen. Durch die Medienberichterstattung weithin bekannt geworden sind beispielsweise KI-generierte Abbildungen des Papstes in ungewohnten Rollen.
1.2.2. Künstliche Intelligenz: Viele Vorteile, aber auch Risiken
Der Einsatz von KI an sich ist wertneutral. KI-Technologien sind Werkzeuge, deren Auswirkungen davon abhängen, wie sie verwendet werden. Mit dem Einsatz von KI im Bereich der öffentlichen Verwaltung können vielfältige Vorteile und Chancen verbunden sein, etwa in der medizinischen Diagnostik oder bei der Unterstützung des individuellen Lernens in der Schule.
Nicht verkannt werden darf allerdings, dass der Einsatz neuer Technologien wie KI auch risikobehaftet ist und bei vielen Menschen zu Ängsten führt. Auf sehr abstrakter Ebene begründet der Einsatz von KI die Furcht vor einem Kontrollverlust, weil Maschinen den Menschen als Arbeitskraft überflüssig machen könnten. Eine Studie der Universität Oxford prognostiziert sogar das Risiko, eine künftige Generation der KI-Technologie könne imstande sein, die Menschheit auszurotten.
Ohne dass ich diese Sorgen bewerten oder gar bagatellisieren will, erscheint mir aus datenschutzrechtlicher Sicht vor allem der Umstand als bedeutsam, dass KI-Systeme unsere Wahrnehmung von Inhalten und damit auch die Grundlage unserer Meinungsbildung beeinflussen können. Werden KI-Modelle mit fehlerhaften Trainings- und Testdaten trainiert, welche die Realität verzerrt wiedergeben ("Bias"), wirkt sich dies auch auf die weitere Datenverarbeitung der KI-Modelle aus. KI-Modelle greifen dann auf erlernte Vorurteile zurück und leiten daraus diskriminierende Entscheidungsvorschläge ab. Überdies erzeugen text- und bildgenerierende KI-Systeme auch personenbezogene Daten, die nicht notwendig "richtig" sein müssen. Stimmen, Sprache, Bilder werden so nachgestellt, dass bisweilen selbst Expertinnen oder Experten auf dem ersten Blick getäuscht werden. Das Erscheinungsbild von Nachrichten kann mittlerweile so realistisch nachgeformt werden, dass News und Fake News kaum noch voneinander zu unterscheiden sind. KI ist zudem "kreativ" in dem Sinne, dass sie auf der Grundlage der von ihr rezipierten Datenquellen neue, eigene Inhalte schafft. Die Folge ist: Wer Suchmaschinen nutzt, wird mittelfristig zunehmend auf Inhalte stoßen, die KI-generiert sind.
Öffentliche Stellen sollten vor diesem Hintergrund noch sensibler mit personenbezogenen Daten umgehen. Soweit sie aus öffentlichen Quellen Informationen erheben, die auch personenbezogene Daten enthalten, steigt die Wahrscheinlichkeit, dass diese Informationen KI-generiert sind.
Setzen öffentliche Stellen ihrerseits KI-Systeme ein, müssen sie sicherstellen, dass dies innerhalb klarer Leitlinien erfolgt. Dazu gehört unter anderem ein hohes Maß an Transparenz und menschlicher Kontrolle. Namentlich beim Einsatz von bild- und textgenerierenden KI-Systemen gilt der Grundsatz "Human-in-the-Loop", also der menschlichen Endkontrolle, ob der jeweils KI-generierte Text sachlich richtig, rechtskonform und nichtdiskriminierend ist. Die datenschutzrechtliche Verantwortung verbleibt bei der öffentlichen Stelle, die das KI-System für eigene Zwecke nutzt.
1.2.3. KI-Verordnung: Wesentliche Inhalte
Bereits in meinem 32. Tätigkeitsbericht 2022 habe ich über die Diskussion zu einem europäischen Gesetz über Künstliche Intelligenz informiert (Nr. 1.1.1.4) Die KI-Verordnung ist nach dem Berichtszeitraum in Kraft getreten, gilt aber noch nicht.
Die Einigung enthält unter anderem Vorschriften für KI-Systeme, die einem allgemeinen Verwendungszweck dienen und künftig systemische Risiken erzeugen können. Dazu stellt die Verordnung einen Governance-Rahmen zur Verfügung. Strafverfolgungsbehörden soll es nur im engen Rahmen erlaubt sein, im öffentlichen Raum KI-basierte biometrische Fernidentifizierungen einzusetzen. Betreiber von KI-Systemen werden verpflichtet, vor deren Inbetriebnahme eine Folgenabschätzung in Bezug auf die Grundrechte durchzuführen.
Soweit KI-Systeme personenbezogene Daten verarbeiten, gilt grundsätzlich die Datenschutz-Grundverordnung. Im Berichtszeitraum ist eine Entscheidung des Europäischen Gerichtshofs zur Auslegung der automatisierten Einzelfallentscheidung nach Artikel 22 DSGVO ergangen, die im Zusammenhang mit dem Einsatz von KI-Systemen besonders relevant sein dürfte. Danach ist der Begriff der "automatisierten Entscheidung im Einzelfall" weit auszulegen. Sogar eine automatisiert erstellte Bewertung (Scorewert) kann hierfür genügen, wenn das Handeln des verantwortlichen Entscheiders maßgeblich von ihr geleitet wird. Insbesondere sofern KI-Systeme zur Vorbereitung von Verwaltungsentscheidungen eingesetzt werden sollen, ist damit Art. 22 DSGVO besonders in den Blick zu nehmen.
Bei der Umsetzung der KI-Verordnung wird es zunächst darauf ankommen, dass die verantwortlichen Stellen einerseits die Risiken von KI-basierter Datenverarbeitung einhegen, andererseits die effektive Nutzung der Chancen gewährleistet bleibt, die mit einem Einsatz von KI-Systemen zu legitimen Zielen verbunden sind. Diesen Maßstab werde ich auch meiner künftigen Datenschutzaufsicht über KI-Systeme zugrunde legen.
1.3. Über diesen Tätigkeitsbericht
Der jährliche Tätigkeitsbericht steht in einem engen Verbund mit meinen rein digitalen Veröffentlichungen, darunter im Berichtsjahr zwei "große", in Bayern und über die Landesgrenzen hinaus rezipierte Orientierungshilfen (Beitrag Nr. 2.1). Schwerpunkte des Tätigkeitsberichts bilden traditionell die Beratung in Gesetzgebungsverfahren, Beiträge zu Anfragen bayerischer öffentlicher Stellen sowie Erkenntnisse, die ich bei der Bearbeitung von Bürgereingaben gewinnen konnte. Dabei gilt nicht der Grundsatz "ein Fall - ein Beitrag". Nur vergleichsweise wenige Arbeitsergebnisse "schaffen es" in den Tätigkeitsbericht - vorzugsweise solche, die prägend für meine Arbeit waren und über den Einzelfall hinaus für das Verständnis, auch die Beachtung datenschutzrechtlicher Rahmenbedingungen des Verwaltungshandelns hilfreich sein können.
Im allgemeinen Datenschutzrecht habe ich mich etwa mit der grundsätzlichen Frage des Personenbezugs sowie den Folgen des Angemessenheitsbeschlusses zum EU-U. S. Data Privacy Framework für Verantwortliche des bayerischen öffentlichen Sektors auseinandergesetzt (Beiträge Nr. 2.2 und 2.7). Hinweise zu Datenpannen bei der Excel-Nutzung, zum Umgang mit der Windows-Telemetriekomponente sowie mit der automatischen Rechtschreibkorrektur bei Webbrowsern sollen dabei unterstützen, den Büroalltag in bayerischen Verwaltungen datenschutzkonform zu gestalten (Beiträge Nr. 2.4 bis 2.6).
Im Bereich der Polizei habe ich mich intensiv mit Fragen der Löschung in der Vorgangsverwaltung IGVP sowie im Fallbearbeitungssystem EASy befasst, dies im Rahmen einer Stellungnahme gegenüber dem Untersuchungsausschuss "NSU II" des Bayerischen Landtags (Beiträge Nr. 3.1 und 3.2). Ich habe mehrere polizeiliche Videoüberwachungen überprüft (Beitrag Nr. 3.4) und konnte feststellen, dass die Postsicherstellung nach Art. 35 Polizeiaufgabengesetz in der Praxis erfreulich selten angeordnet wird (Beitrag Nr. 3.6). Bei der Anwendung der noch neuen Regelungen zu polizeilichen Zuverlässigkeitsüberprüfungen aus Anlass von Großveranstaltungen sowie der Bestimmungen zur Lichtbildanforderung nach Verkehrsordnungswidrigkeiten konnte ich auf eine grundrechtsschonende Handhabung hinwirken (Beiträge Nr. 3.7 und 3.8).
Was die Allgemeine Innere Verwaltung betrifft, habe ich die jüngste Kommunalrechtsnovelle kritisch begleitet. Bei den neuen Vorschriften für das Streaming von Bürgerversammlungen sowie von Gremiensitzungen konnte ich in konstruktiver Zusammenarbeit mit dem Bayerischen Staatsministerium des Innern, für Sport und Integration klare datenschutzrechtliche Verbesserungen erreichen (Beiträge Nr. 4.4.1 und 4.4.2). Dagegen ist es mir leider nicht gelungen, die Abschaffung der erst vor wenigen Jahren gefundenen, deutschlandweit vorbildlichen bayerischen Regelung zum Einsatz elektronischer Wasserzähler zu verhindern (Beitrag Nr. 4.4.4). Beschäftigt haben mich daneben viele kleinere datenschutzrechtliche Fragen wie etwa die automatisierte Kennzeichenerfassung beim Kameraparken (Beitrag Nr. 4.7) oder das öffentliche "Hinhängen" einer kritischen Bürgerin in einer Gemeinderatssitzung (Beitrag Nr. 4.3).
Da die Datenschutzaufsicht auch die Verarbeitung personenbezogener Daten in öffentlichen Registern erfasst, kann ich die Einhaltung zahlreicher Vorgaben des Melderechts sowie des Fahrzeugregisterrechts überprüfen. So habe ich nicht nur die Nutzung des Melderegisters für die Einladung zum Kinderfest einer politischen Partei förmlich beanstandet (Beitrag Nr. 5.1), sondern auch festgestellt, dass eine bayerische Metropole nicht berechtigt war, das Fahrzeugregister als "Adressquelle" zu verwenden, um Halter von Kraftfahrzeugen mit Dieselmotor über mögliche Fahrverbote zu informieren (Beitrag Nr. 5.2).
Im Sozial- und Gesundheitsbereich hatte mein Einsatz für ein uneingeschränktes Widerspruchsrecht von Patientinnen und Patienten gegen dauerhafte Speicherungen im Bayerischen Krebsregister endlich Erfolg (Beitrag Nr. 6.1). Der Prüfungs- und Beratungsalltag bot mir etwa Gelegenheit, einem wohl systemischen Mangel bei Einwilligungsformularen entgegenzuwirken (Beitrag Nr. 6.2) oder die Anforderung von Wundverlaufsprotokollen durch Krankenkassen kritisch zu würdigen (Beitrag Nr. 6.3). Im Zusammenhang mit der Masernimpfpflicht beschäftigten mich nochmals datenschutzrechtliche Fragen bei Kontraindikationsattesten (Beitrag Nr. 6.5).
Vielschichtig waren im Jahr 2023 die Fragestellungen, die ich im Personaldatenschutz zu bewältigen hatte. Bei der Begleitung von dienstrechtlichen Gesetzgebungsverfahren etwa hatten nun endlich meine Bemühungen Erfolg, ein Mitbestimmungsrecht des Personalrats bei der Benennung und Abberufung des behördlichen Datenschutzbeauftragten (Beitrag Nr. 7.9.1) sowie datenschutzgerechte Vorgaben für die Übermittlung von Untersuchungs- oder Beobachtungsbefunden im Rahmen der Unfallfürsorge (Beitrag Nr. 7.2.1) zu etablieren. Zu einer Art datenschutzrechtlichem Vexierspiel entwickelte sich das Störfallmanagement des 2023 eingeführten Dienstradprogramms "JobBike Bayern". Auch hier konnten schließlich praktikable, gleichwohl datenschutzkonforme Lösungen gefunden werden (Beitrag Nr. 7.8). Meine Prüfungs- und Beratungstätigkeit gab ferner Anlass, die Rahmenbedingungen für den Umgang mit den Kontaktdaten von Beschäftigten fortzuentwickeln (Beitrag Nr. 7.5). Bei der "Stufenvorweggewährung", einem tarifrechtlichen Instrument zur Bindung qualifizierter Fachkräfte, konnte die konsequente Anwendung von Datenschutzrecht sogar zu einer Verwaltungsvereinfachung beitragen (Beitrag Nr. 7.7).
Verbesserungen des Datenschutzes bei Schulen und Hochschulen konnte ich in gleich zwei Gesetzen erreichen: In das Bayerische Gesetz über das Erziehungs- und Unterrichtswesen fand ein voraussetzungsloses Widerspruchsrecht in Bezug auf Datenübermittlungen von Schulen an die Agenturen für Arbeit Aufnahme (Beitrag Nr. 8.1.1), im Bayerischen Schulfinanzierungsgesetz wurde die Zweckbindung von Schülerdaten bei der Abrechnung von Gastschulbeiträgen gestärkt (Beitrag Nr. 8.1.2). Im Zusammenhang mit der Masernimpfpflicht beschäftigten mich mehrmals Beschwerden, die Weitergaben ärztlicher Atteste von Schulen an Gesundheitsämter betrafen (Beitrag Nr. 8.2). Bei der Datenschutzaufsicht gegenüber den Hochschulen war das Recht auf Kopie im Prüfungskontext ein wichtiges Thema (Beitrag Nr. 8.4). Eine eher originelle Eingabe legte einen datenschutzrechtlichen Anfängerfehler offen - begangen ausgerechnet vom Dozenten eines Datenschutzkurses (Beitrag Nr. 8.5).
Meine Prüfungs- und Beratungspraxis erfasst auch das im Bayerischen Datenschutzgesetz geregelte Informationszugangsrecht (Art. 39 BayDSG). Ich habe in einem Überblicksbeitrag einige Erkenntnisse aus Einzelfällen zusammengestellt, mit denen ich im Lauf des Berichtsjahres zu tun hatte (Beitrag Nr. 10.3). Recht arbeitsintensiv war ein Fall, in welchem ein privater Verein mit Hilfe von Art. 39 BayDSG eine Erhebung bei bayerischen Kommunen durchzuführen suchte. Eine Vielzahl von Gemeinden war hier nicht umfassend kooperationsbereit, und es bedurfte einiger Mühe, den Verein bei seinem Anliegen zu unterstützen (Beitrag Nr. 10.2).
Interessante Fragen des technisch-organisatorischen Datenschutzes stellten sich in der Folge eines ursprünglich zu Unterrichtszwecken durchgeführten Penetrationstests im pädagogischen Netzwerk einer bayerischen öffentlichen Schule. Hier hatte ein Schüler Sicherheitslücken entdeckt, war aber zunächst nur gemaßregelt worden. Im weiteren Verlauf nutze er das erworbene Wissen ohne pädagogische Aufsicht zu einem größer angelegten Angriff. Ich habe den bayerischen öffentlichen Stellen nun einige Hinweise zum proaktiven Umgang mit den Ergebnissen unerbetener Pentests gegeben (Beitrag Nr. 11.3). Weiterhin hatte ich mich beispielsweise mit der datenschutzgerechten Gestaltung von Bürgerbüros (Beitrag Nr. 11.7), mit der Nutzung nicht dienstlich administrierter E-Mail-Accounts im dienstlichen Kontext (Beitrag Nr. 11.1) oder mit dem Verlust einer Patientenakte (Beitrag Nr. 11.8) zu befassen. Ich habe zahlreiche Verantwortliche zu Datenschutz-Folgenabschätzungen beraten (Beitrag Nr. 11.4) und mich intensiv an der Gremienarbeit zur Anonymisierung und Pseudonymisierung sowie zum KI-Einsatz in der medizinischen Forschung beteiligt (Beitrag Nr. 11.12). Über den Berichtszeitraum gingen bei mir erwartungsgemäß wieder hunderte Meldungen von Datenpannen ein, denen nachzugehen war (Beitrag Nr. 11.9). Gegen ein bayerisches öffentliches Krankenhaus musste ich eine Anordnung nach Art. 58 Abs. 2 DSGVO mit dem Ziel erlassen, dort ein gesetzmäßiges Rollen- und Berechtigungskonzept zu implementieren (Beitrag Nr. 11.11).
Schließlich kann ich über einen recht grundsätzlichen Fall berichten, der das Verhältnis von gesamtverantwortlichen Stellen und Datenschutz-Aufsichtsbehörde betraf (Beitrag Nr. 4.2). In diesem Fall hatte ein Fachreferat eines Staatsministeriums in einem Förderbescheid versucht, die für ein IT-Projekt zu gewährenden Leistungen an eine Unbedenklichkeitsbescheinigung des Landesbeauftragten zu binden. Eine solche Vorgehensweise ist mit der völligen Unabhängigkeit der Datenschutz-Aufsichtsbehörden nicht in Einklang zu bringen. Auf meinen Widerstand hin hat die Behördenleitung des Staatsministeriums den Versuch einer ungesetzlichen Arbeitserleichterung ohne weitere Diskussion unterbunden. Die zügige und eindeutige Reaktion hat mein Vertrauen, dass die bayerische Verwaltung den datenschutzrechtlichen Handlungsrahmen insgesamt ernst nimmt, durchaus gestärkt.
- Vgl. etwa den Bericht "Bewährungsstrafe für jugendlichen Hacker wegen Ausspähens von Promidaten" auf beck-aktuell, https://rsw.beck.de/aktuell/daily/meldung/detail/ag-alsfeld-bewaehrungsstrafe-fuer-jugendlichen-hacker-wegen-ausspaehens-von-promidaten (externer Link). [Zurück]
- Verfahrensstand und Materialien: https://oeil.secure.europarl.europa.eu/oeil/popups/ (externer Link) ficheprocedure.do?reference=2022/0140(COD)&l=en. [Zurück]
- Cohen/Hutter/Osborne, Advanced artificial agents intervene in the provision of award, AI Magazine, Volume 43, Issue 3, September 2022, S. 282 ff. [Zurück]
- Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz) (ABl. L 2024/1689 vom 12. Juli 2024). [Zurück]
- Europäischer Gerichtshof, Urteil vom 7. Dezember 2023, C-634/21, Rn. 40 ff. [Zurück]