Sie sind hier: > Start > Tätigkeitsberichte > 32. TB 2022 > 1. Überblick
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 31.12.2022
1. Überblick
1.1. Eine europäische Datenstrategie
Vor einigen Jahren hat die Europäische Kommission eine neue europäische Datenstrategie vorgestellt. Die Kommission stellt darin sinngemäß fest, dass die EU zwar eine hochindustrialisierte Region darstelle und deshalb auch über qualitativ hochwertige Daten verfüge, diese Daten aber im Vergleich zu Nordamerika und Asien zu wenig geteilt und genutzt würden. Vorhandene Wachstumspotenziale würden deshalb nicht ausgeschöpft. Hierfür ursächlich sind nach Einschätzung der Kommission fehlende Kompetenzen von Akteuren (namentlich bei kleinen und mittleren Unternehmen), fehlende Kapazitäten und Infrastrukturen, die unzureichende Interoperabilität vieler Daten sowie ein fehlender sektorübergreifender Governance-Rahmen für den Datenzugang und die Datennutzung.
Um diese Defizite zu beheben, verfolgt die Kommission das Ziel, einen echten Binnenmarkt für Daten zu schaffen. Neben Investitionen in den Aufbau technischer und personeller Ressourcen sollen neue Kommunikations-Infrastrukturen die Schaffung europäischer Datenpools unterstützen. Auf diese Weise sollen Massendatenanalysen und maschinelles Lernen erleichtert werden. Die Entstehung datengetriebener Ökosysteme soll gleichwohl mit dem Datenschutz- und dem Wettbewerbsrecht vereinbar bleiben. Die Standardisierung von Datenformaten soll die Interoperabilität verbessern. Zudem sollen horizontale Rechtsakte für einen sektorübergreifenden Governance-Rahmen sorgen, die den Weg zu einem europäischen Binnenmarkt für Daten ebnen. Zu diesen horizontalen Rechtsakten zählt bereits der europäische Datenschutz-Rechtsrahmen mit der Datenschutz-Grundverordnung, die Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten enthält, jedoch erklärtermaßen auch das Ziel verfolgt, auf Grundlage eines hohen Datenschutzniveaus den freien Verkehr personenbezogener Daten zu ermöglichen (vgl. Art. 1 Abs. 1 und Abs. 3 DSGVO). Neben den EU-weit geltenden Datenschutz-Rechtsrahmen sind im Berichtsjahr weitere horizontale Rechtsakte getreten, von denen unter anderem der Daten-Governance-Rechtsakt für die öffentliche Hand von herausgehobener Bedeutung ist (siehe sogleich Nr. 1.1.1).
Auf dieser Grundlage sollen gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse geschaffen werden. Auch hierzu plant die Europäische Kommission, zunächst jeweils einen Rechtsrahmen zu schaffen, der die Besonderheiten der sektorspezifischen Datenräume berücksichtigt und in den allgemeinen sektorübergreifenden Rahmen einpasst wird. Als ersten gemeinsamen europäischen Datenraum hat die Kommission einen Europäischen Gesundheitsdatenraum (European Health Data Space - EHDS) angeregt. Hierzu hat sie im Berichtszeitraum den Vorschlag einer Verordnung veröffentlicht, der sich gegenwärtig noch im Gesetzgebungsverfahren befindet (siehe dazu sogleich Nr. 1.1.2).
Der neue Binnenmarkt für Daten soll auf europäischen Werten und Grundrechten sowie auf der Überzeugung gründen, dass der Mensch im Mittelpunkt steht und stehen sollte. Das Bekenntnis zur Bedeutung des einzelnen Menschen und zur uneingeschränkten Achtung der europäischen Grundrechte haben das Europäische Parlament, der Rat und die Europäische Kommission jüngst in ihrer gemeinsamen Europäischen Erklärung zu den digitalen Rechten und Grundsätzen für die digitale Dekade bekräftigt.
Aus datenschutzrechtlicher Sicht begrüße ich die grundsätzliche Ausrichtung der europäischen Datenstrategie an den Grundrechten. Allerdings wird man genau beobachten müssen, ob die Rechtsakte zur Umsetzung der europäischen Datenstrategie diese Ausrichtung beibehalten. Dabei scheinen die horizontalen Rechtsakte nicht vollständig aufeinander abgestimmt zu sein. Datenschutzrechtlich vor allem problematisch dürften allerdings die Initiativen zur Schaffung sektorspezifischer Datenräume sein, wie ich dies am Beispiel der Pläne zu einem gemeinsamen Gesundheitsdatenraum aufzeigen werde (Nr. 1.1.2)
1.1.1. Horizontale Rechtsakte, insbesondere Daten-Governance-Rechtsakt
Wie angedeutet, hat der Daten-Governance-Rechtsakt (im Folgenden: DGA) eine herausgehobene Bedeutung auch für die bayerischen öffentlichen Stellen und wird deshalb in Grundzügen vorgestellt. Er ist am 30. Mai 2022 verabschiedet worden und soll ab 24. September 2023 gelten.
1.1.1.1. Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen
Ein Kernstück des Daten-Governance-Rechtsakts betrifft die Weiterverwendung bestimmter Kategorien geschützter Daten im öffentlichen Sektor, wobei nach Art. 1 Abs. 2 UAbs. 1 DGA keine Verpflichtung der Mitgliedstaaten besteht, eine derartige Weiterverwendung zu erlauben. Sie ist im Kapitel II geregelt und ergänzt die Richtlinie (EU) 2019/1024. Diese Richtlinie verpflichtet die Mitgliedstaaten seit Juli 2021 dazu, den Zugang zu offenen Daten der Verwaltung und ihre Weiterverwendung gesetzlich zu regeln. Diese Vorgabe hat der Bundesgesetzgeber mit dem Datennutzungsgesetz umgesetzt. Wie angedeutet, beschränkt sich der Anwendungsbereich der Richtlinie (EU) 2019/1024 allerdings auf für jedermann frei verwendbare, "offene Daten".
Der Daten-Governance-Rechtsakt befasst sich nun auch mit der Weiterverwendung solcher Daten, an denen rechtlich geschützte Vertraulichkeitsinteressen bestehen. Dazu zählt Art. 3 Abs. 1 DGA die geschäftliche Geheimhaltung, die statistische Geheimhaltung, den Schutz des geistigen Eigentums Dritter und den Schutz personenbezogener Daten.
Der Daten-Governance-Rechtsakt regelt zwar nicht die Frage, ob die öffentliche Hand die Weiterverwendung von in ihrem Besitz befindlichen Daten zu erlauben hat. Insbesondere schafft er nach Art. 1 Abs. 3 Satz 4 DGA keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Er soll aber die Rahmenbedingungen für die gemeinsame Datennutzung im Binnenmarkt verbessern (siehe Erwägungsgrund 3 DGA). Dazu soll der Daten-Governance-Rechtsakt unter anderem die Bedingungen festlegen, unter denen Daten im Besitz öffentlicher Stellen durch Datennutzer weiterverwendet werden können. Insbesondere Art. 5 DGA sieht dazu in seinen Abs. 3 bis 6 auch Regelungen vor, mit denen datenschutzrechtliche Belange berücksichtigt werden sollen.
Artikel 5 DGA
Bedingungen für die Weiterverwendung
[...]
(3) Öffentliche Stellen sorgen gemäß dem Unionsrecht und dem nationalen Recht dafür, dass die Daten geschützt bleiben. Sie können folgende Anforderungen vorschreiben:
- Den Zugang zur Weiterverwendung von Daten nur zu gewähren, wenn die öffentliche Stelle oder die zuständige Stelle nach Eingang des Antrags auf Weiterverwendung sichergestellt hat, dass die Daten
i) im Falle personenbezogener Daten anonymisiert wurden und
ii) im Falle von vertraulichen Geschäftsinformationen, einschließlich Geschäftsgeheimnisse oder durch Rechte des geistigen Eigentums geschützte Inhalte, nach einer anderen Methode der Offenlegungskontrolle verändert, aggregiert oder aufbereitet wurden,
- der Zugang zu den Daten und deren Weiterverwendung erfolgt durch Fernzugriff in einer von der öffentlichen Stelle bereitgestellten oder kontrollierten sicheren Verarbeitungsumgebung,
- der Zugang zu den Daten und deren Weiterverwendung erfolgt unter Einhaltung hoher Sicherheitsstandards innerhalb der physischen Räumlichkeiten, in denen sich die sichere Verarbeitungsumgebung befindet, sofern ein Fernzugriff nicht erlaubt werden kann, ohne die Rechte und Interessen Dritter zu gefährden.
(4) Die öffentlichen Stellen erlegen im Falle einer erlaubten Weiterverwendung gemäß Absatz 3 Buchstaben b und c Bedingungen auf, mit denen die Integrität des Betriebs der technischen Systeme der verwendeten sicheren Verarbeitungsumgebung gewahrt wird. Die öffentliche Stelle behält sich das Recht vor, das Verfahren, die Mittel und die Ergebnisse der vom Weiterverwender durchgeführten Datenverarbeitung zu überprüfen, um die Integrität des Datenschutzes zu wahren, und sie behält sich das Recht vor, die Verwendung der Ergebnisse zu verbieten, wenn darin Informationen enthalten sind, die die Rechte und Interessen Dritter gefährden. Die Entscheidung, die Verwendung der Ergebnisse zu verbieten, muss für den Weiterverwender verständlich und transparent sein.
(5) Sofern im nationalen Recht für die Weiterverwendung von Daten gemäß Artikel 3 Absatz 1 keine besonderen Schutzvorkehrungen bezüglich geltender Geheimhaltungspflichten vorgesehen sind, macht die öffentliche Stelle die Nutzung der gemäß Absatz 3 des vorliegenden Artikels bereitgestellten Daten davon abhängig, ob der Weiterverwender einer Geheimhaltungspflicht nachkommt, wonach ihm die Offenlegung von Informationen, die er möglicherweise trotz der getroffenen Schutzvorkehrungen erlangt hat, untersagt ist, wenn dadurch die Rechte und Interessen Dritter verletzt würden. Weiterverwendern ist es untersagt, betroffene Personen, auf die sich die Daten beziehen, erneut zu identifizieren, und sie ergreifen technische und operative Maßnahmen, um eine erneute Identifizierung zu verhindern und der öffentlichen Stelle etwaige Datenschutzverletzungen, die zu einer erneuten Identifizierung der betroffenen Personen führen könnten, mitzuteilen. Im Falle der unbefugten Weiterverwendung nicht personenbezogener Daten unterrichtet der Weiterverwender unverzüglich, gegebenenfalls mit Unterstützung der öffentlichen Stelle, die juristischen Personen, deren Rechte und Interessen beeinträchtigt werden könnten.
(6) Kann die Weiterverwendung von Daten gemäß den in den Absätzen 3 und 4 des vorliegenden Artikels festgelegten Verpflichtungen nicht erlaubt werden und es keine andere Rechtsgrundlage für die Übermittlung der Daten gemäß der Verordnung (EU) 2016/679 gibt, bemüht sich die öffentliche Stelle, gemäß dem Unionsrecht und dem nationalen Recht, nach besten Kräften, mögliche Weiterverwender dabei zu unterstützen, die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber einzuholen, deren Rechte und Interessen durch eine solche Weiterverwendung beeinträchtigt werden könnten, sofern dies ohne einen unverhältnismäßig hohen Aufwand für die öffentliche Stelle machbar ist. In den Fällen, in denen die öffentliche Stelle eine solche Unterstützung leistet, kann sie von den in Artikel 7 Absatz 1 genannten zuständigen Stellen unterstützt werden.
Die öffentlichen Stellen haben nach Art. 5 Abs. 3 Satz 1 DGA dafür zu sorgen, dass personenbezogene Daten nach Maßgabe des Unionsrechts oder des nationalen Rechts geschützt bleiben. Diese Vorgabe steht wohl grundsätzlich im Einklang mit Art. 6 Abs. 3 Satz 1 DSGVO, wonach die Rechtsgrundlage für eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 UAbs. 1 Buchst. c DSGVO sowie zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe nach Art. 6 Abs. 1 UAbs. 1 Buchst. e DSGVO durch Unionsrecht oder durch das Recht der Mitgliedstaaten gesondert festgelegt wird.
Art. 5 Abs. 3 Satz 2 DGA sieht drei Möglichkeiten vor, mit denen das Unionsrecht oder das nationale Recht Anforderungen an das Wie des Schutzes personenbezogener Daten vorschreiben kann (nicht muss!). Nach Buchstabe a kann der Zugang zu personenbezogenen Daten von einer vorherigen Anonymisierung abhängig gemacht werden, wobei die Anonymisierung in der Verordnung nicht näher definiert wird.
Nach den Buchstaben b und c kann der Datenzugang auch unter gesicherten Zugangsbedingungen gewährt werden, wenn eine Anonymisierung nicht durchgeführt wurde - etwa weil die Bereitstellung anonymisierter Daten den Interessen der Nutzungsberechtigten nicht entsprechen würde. Damit angesprochen ist die Weiterverwendung pseudonymer Daten durch Datennutzer, die dem Regelungsregime der Datenschutz-Grundverordnung unterliegen. Art. 5 Abs. 4 DGA sieht dazu vor, dass die öffentlichen Stellen die erlaubte Weiterverwendung an Prüf- und Verbotsvorbehalte zu knüpfen haben. Art. 5 Abs. 5 DGA untersagt es den Weiterverwendern im Falle der Verwendung pseudonymer Daten, die betroffenen Personen zu reidentifizieren. Zudem müssen die Weiterverwender technisch-organisatorische Maßnahmen ergreifen, um eine Reidentifizierung zu vermeiden oder die öffentliche Stelle über Datenschutzverletzungen mit dem Risiko der unbeabsichtigten Reidentifizierung zu informieren. Da die Datenschutz-Grundverordnung vom Daten-Governance-Rechtsakt unberührt bleiben soll, bleiben die Weiterverwender nach Art. 33, 34 DSGVO weiterhin verpflichtet, Datenschutzverletzungen im Sinne des Art. 4 Nr. 12 DSGVO an die Aufsichtsbehörde zu melden und gegebenenfalls Betroffene über sie zu benachrichtigen.
Absatz 5 formuliert ein Muster für den Umgang mit pseudonymisierten Daten, das in nachfolgenden horizontalen Rechtsakten wiederholt aufgegriffen und in ihrem jeweiligen Anwendungsbereich weiterentwickelt worden ist. Ist eine Weiterverwendung nach den dargelegten Bedingungen nicht möglich, sollen die öffentlichen Stellen nach Art. 5 Abs. 6 DGA im Rahmen der Verhältnismäßigkeit mögliche Weiterverwender dabei unterstützen, die Einwilligung der betroffenen Personen einzuholen.
Um Daten erhältlich und leicht zugänglich zu machen, sollen die Mitgliedstaaten zudem zentrale Informationsstellen schaffen oder benennen, die entsprechende Anträge von Datennutzern auf Weiterverwendung entgegennehmen und an die fachlich zuständigen öffentlichen Stellen übermitteln. Um die Antragstellung zu erleichtern, erstellen die zentralen Informationsstellen auf elektronischem Weg eine durchsuchbare Bestandsliste mit einer Übersicht aller verfügbaren Datenressourcen, die auch über ein europaweites zentrales Zugangsportal recherchierbar gemacht werden (Art. 8 DGA). Zugleich sollen die Mitgliedstaaten Stellen schaffen, die öffentliche Stellen bei ihren Aufgaben nach Art. 5 DGA unterstützen sollen (Art. 7 DGA).
1.1.1.2. Regeln des Daten-Governance-Rechtsakts insbesondere zu Datenvermittlungsdiensten
Das dritte Kapitel des Daten-Governance-Rechtsakts beschreibt die Anforderungen an sogenannte Datenvermittlungsdienste (der Kommissionsvorschlag stellte noch durchweg auf "Dienste für die gemeinsame Datennutzung" ab). Nach Art. 2 Nr. 11 DGA sind sie als Dienste zu verstehen, mit denen "durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung [...] zu ermöglichen". Der Daten-Governance-Rechtsakt misst Datenvermittlungsdiensten eine Schlüsselrolle in der Datenwirtschaft bei, weil sie in besonderer Weise dazu beitragen können, Daten effizient zu bündeln und den bilateralen Datenaustausch zu erleichtern. Allerdings wirft die abstrakte Legaldefinition durchaus Auslegungs- und Abgrenzungsfragen auf.
Datenvermittlungsvermittlungsdienste müssen nach Art. 12 DGA eine Reihe von Bedingungen erfüllen, die das Vertrauen in solche Dienste stärken. Für bestimmte Datenvermittlungsdienste sehen Art. 10 und 11 DGA ein Anmeldeverfahren vor. Nach Art. 13 DGA haben die Mitgliedstaaten Aufsichtsbehörden für Datenvermittlungsdienste zu benennen, deren Aufgaben allerdings die Befugnisse der nationalen Aufsichtsbehörden für den Datenschutz unberührt lassen. Zugleich soll der Daten-Governance-Rechtsakt den rechtlichen Rahmen bilden, um Formen des Datenaltruismus zu fördern. So ist in Art. 25 DGA vorgesehen, dass die Kommission ein europäisches Einwilligungsformular für Datenaltruismus entwickelt, das modular aufgebaut ist und für bestimmte Sektoren und verschiedene Zwecke angepasst werden kann. Zur Unterstützung und Beratung der Europäischen Kommission wird ein "Europäischer Dateninnovationsrat" eingerichtet.
1.1.1.3. Weitere horizontale Rechtsakte
Ebenfalls im Berichtszeitraum in Kraft getreten ist das Gesetz über digitale Märkte. Diese Verordnung legt Regeln für bestimmte zentrale Plattformdienste fest, die als "Torwächter" bezeichnet werden, wenn sie aufgrund ihrer Marktposition einen besonderen Einfluss auf den EU-Binnenmarkt für Daten entfalten.
In Teilen gilt bereits auch das Gesetz über digitale Dienste. Es richtet sich in erster Linie an "Datenvermittlungsdienste". Dieses Gesetz dient der Unterbindung illegaler Inhalte (zum Beispiel Hate Speech und - mit gewissen Abstrichen - auch Fake News) und soll für mehr Transparenz bei der Online-Werbung sorgen. Insoweit weist er Querbezüge zum Daten-Governance-Rechtsakt und zum Gesetz über Digitale Märkte auf. Auch insoweit werden Datenvermittlungsdienste reglementiert. Datenschutzrechtlich relevant ist etwa die Verpflichtung von bestimmten Vermittlungsdiensten zur Errichtung von Meldesystemen für Rechtsverstöße. Das Gesetz über digitale Dienste verfolgt einen risikobasierten Ansatz; es enthält Sondervorschriften für Hosting und Online-Plattformen. Die Datenschutz-Grundverordnung und die E-Privacy-Richtlinie sollen vom Gesetz über digitale Dienste (im Folgenden: DSA) unberührt bleiben, vgl. Art. 2 Abs. 4 Buchst. g DSA. Im Übrigen sieht das Gesetz über digitale Dienste ein grundsätzliches Verbot profilingbasierter Werbung (Art. 26 Abs. 3 DSA) und eine Schutzvorschrift zugunsten Minderjähriger bezüglich Werbeansprachen (Art. 28 Abs. 2 DSA) vor. Art. 39 DSA beschreibt die Anforderungen an Online-Archive, Art. 40 Abs. 8 Buchst. d DSA den Datenzugang zu Forschungszwecken. Art. 45 DSA betrifft Verhaltenskodizes.
Die während des Berichtszeitraums noch nicht abgeschlossenen Gesetzgebungsverfahren zu bedeutsamen horizontalen Rechtsakten betreffen unter anderem harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz), COM (2022) 68 = 2022/0047 COD), horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber-Resilience-Act), eine Verordnung über Maßnahmen für ein hohes Maß an Interoperabilität des öffentlichen Sektors und ein geplantes Gesetz über Künstliche Intelligenz. Da letzterer Entwurf perspektivisch auch für die bayerische öffentliche Hand relevant werden wird, wird er nachfolgend in seinen Grundzügen vorgestellt.
1.1.1.4. Insbesondere: Diskussion um eine KI-Verordnung
Ihren Entwurf für ein Gesetz über Künstliche Intelligenz stellte die Kommission am 21. April 2021 vor. Der Europäische Wirtschafts- und Sozialausschuss nahm zu diesem Vorschlag im Herbst 2021 Stellung. Der Rat hat hierzu bereits im Rahmen einer sog. Allgemeinen Ausrichtung seinen vorläufigen Standpunkt festgelegt, sodass der Gesetzentwurf gegenwärtig bereits im fortgeschrittenen Stadium erörtert wird. Der Verordnungsentwurf hat zum Ziel, einerseits die Entwicklung von innovativen KI-Systemen zu fördern und andererseits etwaige Risiken auf ein vertretbares Maß zu begrenzen.
Im noch laufenden Gesetzgebungsverfahren ist vieles umstritten. Dies beginnt bereits mit der Frage, was unter Künstlicher Intelligenz zu verstehen ist. So definiert Art. 3 Nr. 1 des Verordnungsentwurfs in der Fassung des Kommissionsvorschlags als "System künstlicher Intelligenz" (KI-System) eine Software, die mit näher bestimmten Techniken und Konzepten entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren. Die relevanten Techniken und Konzepte sollen in einer Anlage aufgeführt werden. Diese Definition wird als zu unklar kritisiert. Die Allgemeine Ausrichtung des Rates stellt hingegen in Art. 3 Nr. 1 auf ein System ab, das so konzipiert ist, dass es mit Elementen der Autonomie arbeitet, und das auf der Grundlage maschineller vom Menschen erzeugter Daten und Eingaben durch maschinelles Lernen und/oder logik- und wissensgestützter Konzepte ableitet, wie eine Reihe von Zielen erreicht wird, und systemgenerierte Ergebnisse wie Inhalte (generative KI-Systeme), Vorhersagen, Empfehlungen oder Entscheidungen hervorbringt, die das Umfeld beeinflussen, mit dem die KI-Systeme interagieren. Diese Definition halte ich am ehesten für nachvollziehbar.
Als eine wesentliche Herausforderung identifiziert der Kommissionsvorschlag die Frage, wie die Risiken des Einsatzes von KI-Systemen für den Menschen beherrschbar gemacht werden können. Hierzu wird ein risikobasierter Ansatz diskutiert, der KI-Systeme in verschiedene Risikoklassen unterteilt. Je nach Risikostufe unterliegen KI-Systeme unterschiedlichen Bedingungen.
KI-Systeme für die Interaktion mit natürlichen Personen sollen nach Art. 52 des Verordnungsentwurfs (in allen Fassungen) besonderen Transparenzpflichten unterliegen. Damit soll sichergestellt werden, dass den betroffenen Personen bewusst ist, dass sie mit einem KI-System und nicht mit einem anderen Menschen kommunizieren.
Bestimmte Praktiken im Bereich der Künstlichen Intelligenz sollen nach Art. 5 des Verordnungsentwurfs verboten werden, etwa zur unterschwelligen Beeinflussung außerhalb des Bewusstseins einer Person. Nur teilweise untersagt sollen biometrische Echtzeit-Fernidentifizierungssysteme in öffentlichen Räumen sein, wenn sie zu Strafverfolgungszwecken eingesetzt werden.
Zugleich sieht der Kommissionsvorschlag in Art. 53 ff. des Verordnungsentwurfs vor, dass von den zuständigen Behörden KI-Reallabore errichtet werden können, um im Rahmen einer kontrollierten Umgebung die Entwicklung, Erprobung und Validierung von innovativen KI-Systemen zu erleichtern, bevor sie in den Verkehr gebracht und in Betrieb genommen werden.
Angesichts der hier nur angedeuteten Herausforderungen gewinnt die unabhängige Aufsicht in Bezug auf KI-Systeme eine besondere Relevanz. Nach Art. 3 Nr. 42 des Verordnungsentwurfs (in allen Fassungen) sind insofern namentlich zwei Funktionen wahrzunehmen. Die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen hat eine "notifizierende Behörde" zu übernehmen. Werden KI-Systeme im Markt eingeführt, werden sie von einer "Marktüberwachungsbehörde" weiter kontrolliert (vgl. Art. 3 Nr. 19, 22, 42 und 43 des Verordnungsentwurfs in der Fassung des Kommissionsvorschlags sowie Art. 3 Nr. 43 der Allgemeinen Ausrichtung des Rates). Nach Art. 59 des Verordnungsentwurfs in der Fassung des Kommissionsvorschlags soll eine nationale Aufsichtsbehörde nach Möglichkeit beide Funktionen wahrnehmen. Jedenfalls die notifizierenden Stellen sind so zu organisieren, dass ihre Unparteilichkeit gewahrt ist. Gleichzeitig soll die Zuständigkeit der unabhängigen Datenschutzaufsichtsbehörden unberührt bleiben.
Da das Gesetzgebungsverfahren noch nicht abgeschlossen ist, bleibt insbesondere abzuwarten, wie die künftigen Aufsichtsstrukturen konkret aussehen werden. Allerdings scheint bereits jetzt unstreitig zu sein, dass der Europäische Datenschutzbeauftragte die aufsichtsbehördliche Zuständigkeit in Bezug auf KI-Systeme erhalten soll, die von EU-Einrichtungen eingesetzt werden. Hierfür spricht, dass der Europäische Datenschutzbeauftragte wie die Datenschutz-Aufsichtsbehörden in den Mitgliedstaaten unabhängig ist. Auch sieht der Kommissionsentwurf der Verordnung eine Reihe von aufsichtsbehördlichen Instrumenten vor, die aus dem Datenschutzrecht bekannt sind. Das gilt etwa für die Meldepflichten nach Art. 62 des Verordnungsentwurfs; die Regelung ist Art. 33 DSGVO ähnlich. Angesichts dessen und des Umstands, dass Teile der aufsichtsbehördlichen Aufgaben ausdrücklich den Datenschutz-Aufsichtsbehörden zugewiesen werden (siehe etwa Art. 63 Abs. 5 des Verordnungsentwurfs in der Fassung des Kommissionsvorschlags) ist es daher nicht auszuschließen, dass auch die Datenschutz-Aufsichtsbehörden der Mitgliedstaaten mit der Überwachung von KI-Systemen betraut werden. Nach meiner Einschätzung verfügt allerdings gegenwärtig keine Aufsichtsbehörde in Deutschland (und wohl auch in ganz Europa) über die notwendigen personellen und technischen Ressourcen, um diese Herausforderung zu bewältigen - zumal die Aufsicht über KI-Systeme spezifische Kenntnisse der Funktionsweise erfordern.
Unabhängig davon ist es notwendig und folgerichtig, wenn die Datenschutzkonferenz auf nationaler Ebene und der Europäische Datenschutzausschuss auf europäischer Ebene gleichermaßen das Thema der Künstlichen Intelligenz stärker in den Fokus rücken. Insoweit rufe ich in Erinnerung, dass bereits die 97. Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder in ihrer Hambacher Erklärung vom 3. April 2019 erste Hinweise zu den datenschutzrechtlichen Anforderungen an die Nutzung von KI-Systemen gegeben hat.
Insgesamt versuchen die horizontalen Rechtsakte eine rechtliche Grundlage für Maßnahmen zu schaffen, welche die eingangs beschriebenen Defizite an Interoperabilität, Governance und Kommunikations-Infrastrukturen beheben. Es ist allerdings nicht zu übersehen, dass bereits die horizontalen Rechtsakte nicht vollständig aufeinander abgestimmt sind. So bleibt vieles im Unklaren. Beispielsweise gibt es Legaldefinitionen, die je nach Rechtsakt denselben (oder sehr ähnlichen) zentralen Begriffen unterschiedliche Bedeutungen geben. Hinsichtlich anderer relevanter Begriffe fehlen Legaldefinitionen, und die horizontalen Rechtsakte verweisen insoweit auch nicht auf Begriffsbestimmungen früherer Rechtsakte. Aus datenschutzrechtlicher Sicht wäre es etwa sinnvoll gewesen, im Daten-Governance-Rechtsakt auf die Legaldefinition der "Anonymisierung" in Art. 2 Nr. 7 Richtlinie (EU) 2019/1024 zu verweisen. Insgesamt soll der Datenschutz-Rechtsrahmen überwiegend unangetastet bleiben - gleichzeitig sehen einige horizontale Rechtsakte Vorschriften vor, die sich zwangsläufig auf den Datenschutz auswirken. Vor diesem Hintergrund haben auch der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte im Rahmen ihrer gemeinsamen Stellungnahme 03/2021 zum Vorschlag eines Daten-Governance-Gesetzes sinngemäß mehr Rechtsklarheit gefordert und verlangt, dass die weiteren horizontalen Rechtsakte das bestehende, grundrechtlich garantierte Datenschutzniveau nicht untergraben dürfen.
1.1.2. Sektorspezifische gemeinsame Datenräume: Beispiel Gesundheit
Am 3. Mai 2022 hat die EU-Kommission ihren Vorschlag einer Verordnung zum europäischen Raum für Gesundheitsdaten (European Health Data Space - EHDS veröffentlicht. Der Vorschlag betrifft den ersten sektorspezifischen europäischen Datenraum. Der EHDS soll den Zugang zu elektronischen Gesundheitsdaten und ihren Austausch fördern. Der Vorschlag sieht neben begrüßenswerten Vorschriften zu einer besseren Interoperabilität elektronischer Gesundheitsdaten und zur Standardisierung von elektronischen Patientenakten auch Regelungen vor, die aus datenschutzrechtlicher Sicht insbesondere im Zusammenhang mit der sogenannten Sekundärnutzung dringend nachzubessern sind.
Im unmittelbaren Zusammenhang mit Gesundheitsdienstleistungen (sog. Primärnutzung, siehe Art. 2 Abs. 2 Buchst. d des Verordnungsentwurfs) sollen natürliche Personen eine bessere Kontrolle über die Verarbeitung ihrer elektronischen Gesundheitsdaten erlangen. Zugleich sollen Gesundheitsdienstleister für die jeweilige Gesundheitsdienstleistung relevante Daten zügiger austauschen können. Zu diesen Zwecken sollen die Mitgliedstaaten Zugangsdienste für elektronische Gesundheitsdaten einrichten, um den natürlichen Personen insbesondere die Ausübung ihrer Rechte auf Kopie der Gesundheitsdaten (Art. 3 Abs. 1, 2 des Verordnungsentwurfs) und auf Datenportabilität (Art. 3 Abs. 8 des Verordnungsentwurfs) zu ermöglichen. Zugleich sieht der Vorschlag vor, dass Angehörige der Gesundheitsberufe, wenn sie elektronische Gesundheitsdaten verarbeiten, unabhängig vom Versicherungs- und Behandlungsmitgliedstaat Zugriff auf die elektronischen Gesundheitsdaten der von ihnen behandelten natürlichen Personen erhalten (Art. 4 Abs. 1 Buchst. a des Verordnungsentwurfs). Eine Zustimmung der natürlichen Personen in den Datenzugang ist im Grundsatz nicht vorgesehen; die natürlichen Personen haben lediglich das Recht, den Datenzugang zu beschränken (vgl. Art. 3 Abs. 9, Art. 4 Abs. 4 des Verordnungsentwurfs). Die wechselseitige Gewährung des Datenzugangs soll über eine gemeinsame Infrastruktur für die Primärnutzung elektronischer Gesundheitsdaten realisiert werden (MyHealth@EU, siehe Art. 12 ff. des Verordnungsentwurfs).
Das vorgeschlagene Konzept der Datenverarbeitung zur Primärnutzung steht in einem erheblichen Spannungsverhältnis zur ärztlichen Schweigepflicht, wonach jede Preisgabe von personenbezogenen Patientendaten - auch die gegenüber anderen Schweigepflichtigen - einer ausdrücklichen Entbindung durch die Patientin oder den Patienten bedarf. Art. 8 Abs. 2 Satz 1 Charta der Grundrechte der Europäischen Union (im Folgenden: GRCh) bestimmt, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Jede Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen natürlichen Person bewirkt einen Grundrechtseingriff, der sich nach Art. 52 Abs. 1 GRCh auf das unbedingt Notwendige zu beschränken hat. Da die Zugangsberechtigung der Gesundheitsdienstleister davon abhängt, dass sie die betreffenden natürlichen Personen behandeln (siehe Art. 4 Abs. 1 Buchst. a des Verordnungsentwurfs), ist es nicht ersichtlich, warum eine vorherige Zustimmung in die Verarbeitung nicht einholbar sein soll. Allerdings muss ich einschränkend hinzufügen, dass das Erfordernis einer Schweigepflichtentbindungserklärung wohl ein deutsches Spezifikum ist, das in den weitaus meisten Mitgliedstaaten der EU keine Entsprechung hat.
Ohnehin viel problematischer sind die Vorschläge zur sonstigen Nutzung von elektronischen Gesundheitsdaten (sog. Sekundärnutzung, siehe Art. 2 Abs. 2 Buchst. e des Verordnungsentwurfs). Der Vorschlag sieht dazu vor, dass die Mitgliedstaaten Zugangsstellen für Gesundheitsdaten benennen (Art. 36 Abs. 1 des Verordnungsentwurfs). Sie sollen Anträge auf Zugang zu elektronischen Gesundheitsdaten entgegennehmen, prüfen und verbescheiden (Art. 37 des Verordnungsentwurfs). Der Vorschlag sieht ein breites Spektrum von Verarbeitungszwecken vor, für die Sekundärnutzung zulässig ist (siehe Art. 34 des Verordnungsentwurfs).
Dateninhaber sind grundsätzlich verpflichtet, ihre elektronischen Gesundheitsdaten für die Sekundärnutzung zur Verfügung zu stellen (vgl. Art. 33 Abs.1 des Verordnungsentwurfs). Dazu sollen sie verpflichtet werden, den Zugangsstellen für Gesundheitsdaten Metadaten ("allgemeine Beschreibung des Datensatzes", Art. 41 Abs. 2 des Verordnungsentwurfs) zu übermitteln, die dann veröffentlicht werden. Im Fall eines berechtigten Antrags auf Sekundärnutzung fordern die Zugangsstellen bei relevanten Dateninhabern die beantragten elektronischen Gesundheitsdaten als Klardaten an (siehe Art. 41 Abs. 4 des Verordnungsentwurfs). Erst nachdem die elektronischen Gesundheitsdaten von verschiedenen Dateninhabern gesammelt und kompiliert worden sind, werden sie von der Zugangsstelle pseudonymisiert oder anonymisiert, um sie so an den Antragsteller weiterzuleiten (Art. 37 Abs. 1 Buchst. g, Art. 44 Abs. 2, 3 und Art. 45 Abs. 2 Buchst. c und d des Verordnungsentwurfs). Die Weiterverarbeitung durch die Nutzer soll zweckgebunden bis zu maximal zehn Jahren (siehe Art. 46 Abs. 9 des Verordnungsentwurfs) erfolgen - eine Wiederherstellung des unmittelbaren Personenbezugs ist den Nutzungsberechtigten nicht gestattet (siehe Art. 44 Abs. 3 Sätze 3, 4 des Verordnungsentwurfs). Ist die Zugangsstelle nicht willens oder nicht in der Lage, einen Antrag auf Sekundärnutzung innerhalb von zwei Monaten - bei komplexen Fällen binnen vier Monaten - zu bescheiden, gilt der Antrag als genehmigt (vgl. Art. 46 Abs. 3 des Verordnungsentwurfs). Bei grenzüberschreitenden Antragsfällen können Nutzer ihren Antrag bei einer beliebigen Zugangsstelle für Gesundheitsdaten stellen, die für die Weiterleitung zuständig ist (siehe Art. 45 Abs. 3 des Verordnungsentwurfs). Die Anträge werden dann über nationale Kontaktstellen auf dem Weg der grenzüberschreitenden Infrastruktur HealthData@EU weitergeleitet (siehe im Einzelnen Art. 52 des Verordnungsentwurfs). Fordern öffentliche Stellen elektronische Gesundheitsdaten an, soll eine Datengenehmigung nicht erforderlich sein (vgl. Art. 48 des Verordnungsentwurfs).
Es ist zwar nicht zu übersehen, dass der Vorschlag zahlreiche Vorgaben für die Sicherheit der bereitzustellenden elektronischen Gesundheitsdaten macht. Sieht man davon ab, dass die Wirksamkeit dieser Vorkehrungen bei bestimmten Datenkategorien - wie etwa genetischen Daten oder Bilddaten - fraglich sein kann, bestehen aus datenschutzrechtlicher Sicht schwerwiegende, auch grundrechtliche Bedenken gegenüber dem vorgeschlagenen Konzept der Sekundärnutzung. Von diesen grundrechtlichen Bedenken abgesehen, würde die Verordnung eine massive Mehrbelastung von Dateninhabern (etwa Krankenhäusern, großen Arztpraxen, Herstellern von Medizinprodukten, gesetzlichen Krankenkassen, öffentlichen Archiven, Ämtern für Statistik usw.) begründen, soweit sie verpflichtet werden, den Zugangsstellen Metadaten und - im Falle von positiven Zugangsentscheidungen - Klardaten zur Verfügung zu stellen. Diesen erheblichen bürokratischen Aufwänden stehen ungeachtet einiger Kostendämpfungsmaßnahmen für Unternehmen keine unmittelbaren Vorteile gegenüber, soweit Kliniken und Arztpraxen nicht selbst zu den Datennutzern gehören. Die gesetzliche Pflicht zur Bereitstellung elektronischer Gesundheitsdaten greift damit nicht unerheblich in die Unternehmensfreiheit der kommerziellen Dateninhaber aus Art. 16 GRCh ein.
Ob derartige Eingriffe aus Gründen der Datenverkehrsfreiheit gerechtfertigt sind, habe ich allerdings aufgrund meiner Aufgabenstellung nicht zu beurteilen. Schwerwiegende grundrechtliche Bedenken mit datenschutzrechtlicher Relevanz bestehen jedoch auch und vor allem im Hinblick auf die Grundrechte der Patientinnen und Patienten auf Achtung ihres Privatlebens und auf Datenschutz, Art. 7 und Art. 8 GRCh. Die Pflicht zur Bereitstellung der elektronischen Gesundheitsdaten soll unabhängig von der Einwilligung der betroffenen natürlichen Personen eingreifen. Der Vorschlag der Kommission sieht sogar vor, dass elektronische Gesundheitsdaten selbst dann uneingeschränkt übermittelt werden müssen, wenn sie vom Dateninhaber zuvor lediglich auf Grundlage einer Einwilligung erhoben wurden (siehe Art. 33 Abs. 5 des Verordnungsentwurfs). Derartige gesetzliche Übermittlungspflichten gibt es auf nationaler Ebene in Deutschland zwar punktuell auch in anderen Zusammenhängen, etwa im Bereich der Bekämpfung von Straftaten. Dort besteht eine Pflicht zur Offenbarung von Patientendaten aber nicht generell, sondern lediglich in konkreten Ermittlungsfällen. Demgegenüber sieht der Vorschlag der Kommission vor, dass die Zugangsstellen für Gesundheitsdaten generell allgemeine Beschreibungen der elektronischen Gesundheitsdaten zu veröffentlichen haben, um einen effektiven Datenzugang zu ermöglichen. Damit wird der Zugang zu elektronischen Gesundheitsdaten systematisch eröffnet. Daten und die ärztliche Schweigepflicht werden damit grundsätzlich infrage gestellt.
Hochproblematisch und in Entgegensetzung zum Grundsatz der Datenminimierung aus Art. 5 Abs. 1 Buchst. c DSGVO ist die geplante Verpflichtung der Dateninhaber nach Art. 33 des Verordnungsentwurfs, auf Anforderung regelmäßig Klardaten den Zugangsstellen für Gesundheitsdaten zuzuleiten. Zunächst ist es nicht nachvollziehbar, aus welchen praktischen Gründen die Übermittlung von pseudonymisierten Daten nicht möglich sein soll, zumal entsprechende Modelle in den Mitgliedstaaten existieren - und funktionieren. Dieser Mangel wird dadurch verstärkt, dass der Verordnungsvorschlag keine konkreten Vorgaben zur organisatorischen Ausgestaltung der Zugangsstellen macht. Beispielsweise hätte es gravierende Folgen, wenn kriminelle Organisationen im Rahmen erfolgreicher Hackerangriffe die gesammelten Gesundheitsdatenprofile einer Zugangsstelle ableiten würden. Zwar dürften die technisch-organisatorischen Vorgaben der Datenschutz-Grundverordnung wohl gelten - aufgrund der Konzeption der Datenschutz-Grundverordnung als allgemeines Datenschutzgesetz sind sie aber zu unspezifisch, um insoweit rechtsklare Vorgaben an die Zugangsstellen zu formulieren.
Bedenken löst auch der Umfang der bereitzustellenden Daten aus, der neben elektronischen Patientenakten sensible elektronische Gesundheitsdaten unter anderem aus psychiatrischen Behandlungen, genetische Daten, Material aus der bildgebenden Diagnostik oder gesundheitsrelevante Verhaltensdaten umfasst (vgl. Art. 33 des Verordnungsentwurfs). Vor allem aber ist problematisch, dass der Vorschlag einen weit gefassten Katalog von berechtigten Sekundärnutzungszwecken für den Datenzugang vorsieht - ohne dass der betroffenen Person insoweit ein wie auch immer geartetes Mitspracherecht hinsichtlich der Weiterverwendung ihrer Gesundheitsdaten eingeräumt wird. Das begründet erhebliche grundrechtliche Bedenken, weil die aufgeführten berechtigten Datenzugangsinteressen hinsichtlich ihrer Legitimität höchst unterschiedliche Gewichte haben, aber auf der legislativen Ebene gleich behandelt werden. Beispielsweise soll das Datenzugangsinteresse "Pandemiebekämpfung" auf der Ebene des Vorschlags genauso behandelt (Art. 34 Abs. 1 Buchst. a des Verordnungsentwurfs) werden wie "Bildungs- und Lehrtätigkeiten im Gesundheits- und Pflegesektor" (Art. 34 Abs. 1 Buchst. d des Verordnungsentwurfs). Dabei ist es offensichtlich, dass in dem einen Fall eine flächendeckende Erhebung von pseudonymisierten Gesundheitsdaten im substantiellen Interesse der Gesamtbevölkerung liegt, während es in dem anderen Fall nicht ansatzweise ersichtlich ist, wieso eine solche Verarbeitung nicht auf eine ausdrückliche Einwilligung der betroffenen Personen gestützt werden soll. Schon allein um eine unterschiedliche Handhabung in den Mitgliedstaaten zu vermeiden, muss die Verordnung insoweit selbst eine unterschiedliche Gewichtung der Datenzugangsinteresse vornehmen, anstatt dies dem Verwaltungsvollzug durch die nationalen Zugangsstellen für Gesundheitsdaten zu überlassen. Mit anderen Worten müsste der Katalog des Art. 34 Abs. 1 des Verordnungsentwurfs durch eine Regelung ersetzt werden, bei der nur zum Schutz vor schwerwiegenden Gesundheitsgefahren der Bevölkerung von der Mitgestaltung der betroffenen natürlichen Personen abgesehen wird. Im Übrigen sollten die natürlichen Personen ihre Zustimmung zur Sekundärnutzung geben müssen oder zumindest ein voraussetzungsfreies Recht zum Widerspruch erhalten. Hochproblematisch ist zudem die in Art. 46 Abs. 3 des Verordnungsentwurfs vorgesehene Genehmigungsfiktion, nach der Grundrechtseingriffe ohne eine entsprechende Prüfung und Entscheidung der zuständigen Behörde legitimiert werden sollen.
Mittlerweile hat das Europäische Parlament erfreulicherweise einen Teil der Kritik aufgegriffen. Es bleibt daher zu hoffen, dass dem Grundrechtsschutz der betroffenen Personen im weiteren Verlauf des Gesetzgebungsverfahrens ein größeres Gewicht beigemessen wird. Auf die datenschutzrechtlichen Anforderungen im Zusammenhang mit dem Europäischen Gesundheitsdatenraum hat jüngst auch eine Stellungnahme der Datenschutzkonferenz aufmerksam gemacht (Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 27. März 2023, Nutzung von Gesundheitsdaten braucht Vertrauen - Der Europäische Gesundheitsdatenraum darf das Datenschutzniveau der Datenschutz-Grundverordnung nicht aushöhlen). Diese Stellungnahme habe ich unterstützt. Selbstverständlich kann ich das grundsätzliche Anliegen nachvollziehen, dass elektronische Gesundheitsdaten wirtschaftlich interessant sind. Ihre effektivere Nutzung kann zu einer Wertschöpfung beitragen. Auch soweit der geplante Gesundheitsdatenraum die wissenschaftliche Forschung bei der Nutzung von Gesundheitsdaten unterstützen soll, ist dies im Grundsatz nachvollziehbar. Allerdings hebt die Europäische Erklärung zu den digitalen Rechten und Grundsätzen für die digitale Dekade ausdrücklich hervor, dass der Mensch im Mittelpunkt des digitalen Wandels stehen soll. Ein zentraler Aspekt ist dabei die uneingeschränkte Achtung der Grundrechte. Dies kann nach meinem Verständnis nur bedeuten, dass gerade beim Teilen und Nutzen von sensiblen Gesundheitsdaten die betroffenen Personen die sie betreffenden Verarbeitungsvorgänge mitgestalten können.
1.2. Vertretung der Länderinteressen im Europäischen Datenschutzausschuss (EDSA)
Seit 25. Juni 2021 ist der Bayerische Landesbeauftragte für den Datenschutz der "Stellvertreter des gemeinsamen Vertreters" im Europäischen Datenschutzausschuss (EDSA). Der EDSA ist eine Einrichtung der Europäischen Union, in der die Mitgliedstaaten jeweils durch den Leiter einer nationalen Datenschutz-Aufsichtsbehörde vertreten sind. Er soll insbesondere die einheitliche Anwendung der Datenschutz-Grundverordnung sicherstellen. In diesem Rahmen stellt der EDSA einheitliche Dokumente, wie etwa Leitlinien und Empfehlungen, zur Verfügung. Er berät die Europäische Kommission in allen Fragen des Schutzes personenbezogener Daten, insbesondere auch bei der Rechtsetzung. Zu grenzüberschreitenden Einzelfällen kann der EDSA in Kohärenzverfahren Beschlüsse fassen. Ferner fördert er die Zusammenarbeit zwischen den nationalen Datenschutz-Aufsichtsbehörden. Da in Deutschland mehrere Datenschutz-Aufsichtsbehörden bestehen, sieht § 17 Bundesdatenschutzgesetz vor, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Funktion des gemeinsamen Vertreters im EDSA wahrnimmt. Sein vom Bundesrat zu wählender Stellvertreter nimmt die Stimme Deutschlands im Europäischen Datenschutzausschuss nicht nur im Verhinderungsfall wahr. Der gemeinsame Vertreter überträgt vielmehr auch in bestimmten, für die Länder wichtigen Angelegenheiten seinem Stellvertreter die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss. In diesem Sinne nimmt der Vertreter des gemeinsamen Vertreters vor Allem die Interessen der Datenschutzaufsichtsbehörden der Länder wahr. Der EDSA erfüllt seine Aufgaben, indem er auf der Grundlage von mittelfristigen Strategien jährliche Arbeitsprogramme aufstellt. Die erste EDSA-Strategie wurde vor meiner Wahl angenommen (am 15. Dezember 2020) und betrifft den Zeitraum 2021 bis 2023. Sie bietet keinen umfassenden Überblick über die Arbeit des EDSA, sondern legt vier "tragende Säulen" und "Schlüsselaktionen" fest, mit denen er seine strategischen Ziele erreichen will. Die vier tragenden Säulen bestehen in der Förderung der Harmonisierung und Erleichterung der Einhaltung datenschutzrechtlicher Vorschriften, der Unterstützung einer wirksamen Rechtsdurchsetzung und einer effizienten Zusammenarbeit zwischen nationalen Aufsichtsbehörden, der Wahl eines grundrechtlichen Ansatzes für neue Technologien sowie der Förderung des EU-Datenschutzes als globales Modell in der Welt.
Im Berichtsjahr hat der EDSA 15-mal in Videokonferenzen und in Präsenz getagt. Zudem fand im April 2022 in Wien ein Treffen der Mitglieder des EDSA statt, um die grundsätzliche Ausrichtung des Gremiums zu überprüfen und eine verbesserte Zusammenarbeit in der Durchsetzung des Datenschutzes in den Blick zu nehmen. Das Plenum wird durch seine Arbeitsgruppen unterstützt, die in zahlreichen Sitzungen die Entscheidungen des EDSA vorbereiten. In diesem Zusammenhang danke ich herzlich allen Mitarbeiterinnen und Mitarbeitern der Datenschutz-Aufsichtsbehörden von Bund und Ländern, die mit großem Engagement und großer Fachkunde dem Plenum und den Arbeitsgruppen zugearbeitet haben.
Ein Hauptschwerpunkt der EDSA-Arbeit bestand auch im Berichtszeitraum in der Annahme von Leitlinien, Empfehlungen und Stellungnahmen. Daneben hat der EDSA im Jahr 2022 mehrere Entscheidungen in Streitbeilegungsverfahren gefällt. Soweit die angenommenen Dokumente für die Länder und damit auch für die bayerischen öffentlichen Stellen besonders relevant sind, werden sie an gesonderter Stelle vorgestellt (siehe Nr. 14). Im Übrigen wird auf die auf der Webseite des EDSA veröffentlichten Dokumente verwiesen.
1.3. Über diesen Tätigkeitsbericht
Die europäische Datenstrategie und die in ihr wurzelnden Unionsrechtsakte werden in den nächsten Jahren auch die Arbeit der Datenschutz-Aufsichtsbehörden in den Mitgliedstaaten, in Deutschland wie in Bayern zunehmend prägen. Bei alldem ist jedoch auch die "klassische" Datenschutzarbeit zu leisten: Nach Art. 15 Abs. 1 Satz 1 BayDSG habe ich die Einhaltung der Datenschutz-Grundverordnung, des Bayerischen Datenschutzgesetzes sowie anderer Vorschriften über den Datenschutz bei den bayerischen öffentlichen Stellen zu überwachen. Dabei verfolge ich stets einen präventiven Ansatz: Guter Datenschutz reagiert nicht in erster Linie mit harten Sanktionen auf spektakuläre Datenschutzverletzungen, sondern versucht, zu deren Vermeidung anzuleiten.
Ein zentrales Instrument ist dabei die Vermittlung von Wissen. Ich möchte möglichst viele bayerische öffentliche Stellen in die Lage versetzen, Verarbeitungen personenbezogener Daten in ihrem jeweiligen Aufgabenbereich rechtskonform zu gestalten. Daher habe ich im Berichtszeitraum mein im innerdeutschen Vergleich mittlerweile wohl führendes Informationsangebot für den öffentlichen Sektor weiter ausgebaut und aktualisiert. Beitrag Nr. 2.1 gibt dazu einen Überblick. Aus dem allgemeinen Datenschutzrecht möchte ich als Beispiele die Beiträge Nr. 2.2 und 2.3 nennen, in denen bayerische öffentliche Stellen erfahren, was beim Versand von Hybridbriefen und beim Einsatz externer Schriftarten auf Webseiten zu beachten ist.
Zum präventiven Datenschutz gehört die Beratung an der Gesetzgebung beteiligter Stellen, insbesondere der Staatsministerien. Meine Einbindung in die entsprechenden Verfahren gestaltet sich in Einklang mit Art. 16 Abs. 3 BayDSG und § 7 Abs. 4 Satz 1 Geschäftsordnung der Bayerischen Staatsregierung meist reibungslos. Ich werde frühzeitig beteiligt, und meine Hinweise werden gehört, meine Optimierungsvorschläge erfreulich oft aufgegriffen. Im Berichtszeitraum findet sich allerdings auch ein Gegenbeispiel. Bei der Novelle des Bayerischen Universitätsklinikagesetzes hat sich das zuständige Staatsministerium meinen eingehend begründeten datenschutzrechtlichen Monita gegenüber weitgehend verschlossen und Verarbeitungsvorschriften eingebracht, die Patientenrechte einseitig zugunsten von Forschungsinteressen verkürzen. Die Neuregelung erscheint in Anbetracht der gegenwärtigen Regulierung des europäischen Gesundheitsdatenraums zudem als übereilt.
Bei der Bayerischen Polizei habe ich weiterhin die Bemühungen zur Einführung einer Verfahrensübergreifenden Recherche- und Analyseplattform (VeRA) kritisch begleitet. In meinem Eintreten für einen rechtsstaatlich erträglichen Handlungsrahmen habe ich Unterstützung durch das Bundesverfassungsgericht erfahren. In einer Entscheidung zum Polizeirecht einiger anderer Bundesländer griff das Gericht Argumente auf, die ich seit jeher auch der Bayerischen Polizei entgegenhalte (Beitrag Nr. 3.1). "Kleinere" Erfolge konnte ich etwa bei der Beschleunigung von Auskunftsverfahren sowie bei der Nutzung privater Smartphones durch Polizeibeamte erreichen (Beiträge Nr. 3.2 und 3.4). Im Bereich des Verfassungsschutzes habe ich gegenüber dem Bayerischen Landtag zu Löschmoratorien Stellung genommen, welche die Arbeit des NSU-Untersuchungsausschusses erleichtern sollen, jedoch datenschutzrechtliche Fragen aufwerfen (Beitrag Nr. 3.5). Bei der Justiz erstreckt sich meine Aufsichtskompetenz zwar nicht auf richterliche Tätigkeiten; zu überprüfen hatte ich jedoch etwa Datenübermittlungen von Staatsanwaltschaften an Jugendämter und Ausländerbehörden (Beiträge Nr. 4.2 und 4.3). Gegenüber einem Notar habe ich wegen unzulässiger Einsichtnahme in ein Grundbuch eine förmliche Beanstandung ausgesprochen (Beitrag Nr. 4.5).
Was den kommunalen Bereich betrifft, habe ich mich grundsätzlich zu den Regelungsmöglichkeiten geäußert, die Gemeinden bei Datennutzungssatzungen zustehen (Beitrag Nr. 5.1). Gemeinden können sich zwar kein eigenes Datenschutzrecht schaffen, das als einengend empfundene Vorgaben einfach beiseiteschiebt. Sie sollten aber einige Spielräume kennen, die durch Ortsrecht ausgefüllt werden dürfen. Einer eingehenden Prüfung habe ich das E-Ticket-System eines kommunalen Verkehrsunternehmens unterzogen (Beitrag Nr. 5.2). In einigen Details konnten hier Optimierungsbedarfe aufgezeigt werden. Die Gemeinden als Meldebehörden möchte ich darauf aufmerksam machen, dass Melderegisterauskünfte nur aus dem örtlichen Meldedatenbestand erteilt werden dürfen und ein automatisierter Abruf aus dem Ausländerzentralregister auch zum Zweck der Verwaltungsvereinfachung nicht eingerichtet werden darf (Beiträge Nr. 6.2 und 6.3). Meine Beratungstätigkeit bei der Schaffung einheitlicher Regelungen für die Inanspruchnahme staatlicher Rechenzentren als Auftragsverarbeiter habe ich auch im Berichtszeitraum fortgeführt. (Beitrag Nr. 6.1).
Im Bereich der Sozial- und Gesundheitsverwaltung sind viele Datenschutzfragen im Zusammenhang mit der COVID-19-Pandemie mittlerweile geklärt, teilweise haben sie auch an Interesse verloren; Themen waren insofern noch die Symptomabfrage durch Gesundheitsämter oder die Impfstatusabfrage bei Besucherinnen und Besuchern in öffentlichen Krankenhäusern (Beträge Nr. 7.2 und 7.4). Daneben waren "coronafreie" Datenschutzfragen wie die Evaluierung des Bayerischen Krebsregistergesetzes oder die datenschutzrechtliche Verantwortlichkeit in Bereitschaftspraxen der Kassenärztlichen Vereinigung Bayerns zu würdigen (Beiträge Nr. 7.3 und 7.5).
Bei der Steuer- und Finanzverwaltung ist die Funktion der Datenschutz-Aufsichtsbehörde weithin dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zugewiesen; dies gilt auch für die bayerischen Finanzämter. Das Steuerrecht setzt mit einer Sonderregelung auf eine bundesweite Zentralisierung. Neue Fragen der Abgrenzung zu meinen Zuständigkeiten stellten sich im Berichtszeitraum durch Einführung der bayerischen Grundsteuer. In Bezug auf die Verwaltung dieser Landessteuer sehe ich derzeit mich als zuständige Datenschutz-Aufsichtsbehörde an (Beitrag Nr. 8.1). Meine ersten Erfahrungen mit der Wahrnehmung dieser Zuständigkeit habe ich für einige Fallgruppen dargestellt (Beitrag Nr. 8.2).
Im Bereich des Personaldatenschutzes standen Fragen der Verarbeitung von Immunitätsnachweisen bei der einrichtungsbezogenen Impfpflicht (Beitrag Nr. 9.1) noch im Zusammenhang mit der COVID-19-Pandemie. In gleich zwei beachtenswerten Einzelfällen kam es zu förmlichen Beanstandungen allzu dokumentationsfreudiger öffentlicher Arbeitgeber; hier ging es um eine verdeckte Tonaufzeichnung der Äußerungen einer Beschäftigten während einer Videokonferenz (Beitrag Nr. 9.3) und - wieder einmal - um den illegalen Einsatz von Ortungssystemen in Dienstkraftfahrzeugen (Beitrag Nr. 9.4). Ein grundsätzlicher Beitrag (Nr. 9.5) widmet sich dem Schicksal des dienstlichen E-Mail-Accounts eines verstorbenen Professors, der im Ruhestand noch an seiner Hochschule tätig war.
Was den Datenschutz an Schulen und Hochschulen betrifft, habe ich im Berichtszeitraum eine Überarbeitung der einschlägigen Bestimmungen des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen, der Bayerischen Schulordnung sowie der zugehörigen Verwaltungsvorschriften beratend unterstützt (Beitrag Nr. 10.1). Eingehend habe ich mich mit der Verarbeitung personenbezogener Daten im Rahmen der Videoaufsicht bei Fernprüfungen an bayerischen Hochschulen auseinandergesetzt (Beitrag Nr. 10.2). Eine nicht unerhebliche Anzahl von Eingaben erreichte mich im Zuge des Zensus 2022; die wichtigsten Fragen habe ich in einem Überblicksbeitrag dargestellt (Nr. 11.1)
Zum technisch-organisatorischen Datenschutz gibt mein Tätigkeitsbericht für das Jahr 2022 wieder eine Vielzahl von Impulsen: Mein Angebot an Materialien zur Datenschutz-Folgenabschätzung - einem in der Datenschutz-Grundverordnung zentralen Instrument des systematischen Auffindens und Bewältigens von Risiken - hat die nächsthöhere Ausbaustufe erreicht (Beitrag Nr. 12.2); grundsätzlich habe ich mich mit den datenschutzrechtlichen Anforderungen an sog. Penetrationstests befasst, welche die Sicherheit von IT-Systemen gezielt auf die Probe stellen (Beitrag Nr. 12.1). Die unbeabsichtigte Veröffentlichung personenbezogener Daten im Internet kommt leider auch bei bayerischen öffentlichen Stellen vor; zu einigen im Rahmen meiner Aufsichtstätigkeit wiederkehrenden Fallgruppen erläutere ich Maßnahmen der Fehlervermeidung (Beitrag Nr. 12.4). In einer Umfrage bei den bayerischen Gesundheitsämtern zur Datenverarbeitung im Zusammenhang mit der COVID-19-Pandemie konnte ich einige neue Erkenntnisse gewinnen (Beitrag Nr. 12.5).
Die Datenschutzkommission beim Bayerischen Landtag, die nach Art. 17 Abs. 1 Satz 1 BayDSG meine Arbeit unterstützt, hat im Berichtszeitraum drei Mal getagt. Dem Gremium, einer bayerischen Besonderheit, deren Tradition bis zum Bayerischen Datenschutzgesetz von 1978 zurückreicht, gehören sechs Mitglieder aus der Mitte des Landtags sowie vier externe Mitglieder an. Den mit den Sitzungen der Datenschutzkommission verbundenen intensiven Austausch über aktuelle datenschutzpolitische wie datenschutzrechtliche Fragen, über Gesetzesvorhaben, auch über Maßnahmen, die ich im Rahmen meiner Aufsichtstätigkeit getroffen habe, empfinde ich stets als bereichernd. Ich möchte daher die Gelegenheit nutzen, den Mitgliedern der Datenschutzkommission für ihre nicht im Fokus der Öffentlichkeit stehende Arbeit meinen ganz herzlichen Dank auszusprechen.
- Eine europäische Datenstrategie, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19. Februar 2020, COM(2020) 66 final, Internet: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52020DC0066 (externer Link). [Zurück]
- ABl. C 23 vom 23. Januar 2023, S. 1. [Zurück]
- Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt (ABl. L 152 vom 3. Juni 2022, S. 1). [Zurück]
- Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. L 172 vom 26. Juni 2019, S. 56). [Zurück]
- Vom 16. Juli 2021 (BGBl. I S. 2941, 2942; ber. S. 4114). [Zurück]
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance (Daten-Governance-Gesetz) vom 25. November 2020, COM(2020) 767 final, Internet: https://eur-lex.europa.eu/legal-content/de/TXT/?uri=celex:52020PC0767 (externer Link). [Zurück]
- Verordnung (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte, ABl. L 265 vom 12. Oktober 2022, S. 1). [Zurück]
- Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste, ABl. L 277 vom 27. Oktober 2022, S. 1). [Zurück]
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz), COM(2022) 68 final, Internet: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52022PC0068 (externer Link). [Zurück]
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020, COM/2022/454 final, Internet: https://eur-lex.europa.eu/legal-content/de/TXT/?uri=celex:52022PC0454 (externer Link). [Zurück]
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes Maß an Interoperabilität des öffentlichen Sektors in der Union (Gesetz für ein interoperables Europa), COM/2022/720 final, Internet: https://eur-lex.europa.eu/legal-content/de/TXT/?uri=celex:52022PC0720 (externer Link). [Zurück]
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union, COM/2021/206 final, Internet: https://eur-lex.europa.eu/legal-content/de/TXT/?uri=celex:52021PC0206 (externer Link). [Zurück]
- Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (Gesetz über künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union - Allgemeine Ausrichtung vom 6. Dezember 2022, ST 15698 2022 INIT, Internet: https://eur-lex.europa.eu/legal-content/de/TXT/?uri=consil:ST_15698_2022_INIT (externer Link). [Zurück]
- Zum Beratungsstand im Europäischen Parlament siehe https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2021/0106(COD)&l=en (externer Link) unter "Documentation gateway". [Zurück]
- Text auf https://www.datenschutz-bayern.de, Rubrik "Konferenzen" [Zurück]
- Zum Beispiel "Dateninhaber" in Art. 2 Nr. 9 DGA und Art. 2 Nr. 6 Entwurf eines Datengesetzes; "Datennutzer" oder "Nutzer", in Art. 2 Nr. 9 DGA, Art. 3 Buchst. b DSA, Art. 3 Nr. 4 Entwurf eines Gesetzes über künstliche Intelligenz, Art. 2 Nr. 5 Entwurf eines Datengesetzes sowie - etwas besser - in Art. 2 Nr. 20, 21 Gesetz über digitale Märkte, der den Nutzerbegriff mit erklärenden Zusätzen ergänzt. [Zurück]
- Internet: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032021-proposal_de (externer Link). [Zurück]
- Vorschlag für Verordnung des Europäischen Parlaments und des Rates über den europäischen Raum für Gesundheitsdaten, COM/2022/197 final, Internet: https://eur-lex.europa.eu/legal-content/de/TXT/?uri=COM:2022:197:FIN (externer Link). [Zurück]
- Art. 4 Abs. 4 Satz 1 des Verordnungsentwurfs sieht nur für den Fall der Einschränkung des Zugangs durch natürliche Personen einen Zustimmungsvorbehalt vor. [Zurück]
- Text auf https://www.datenschutz-bayern.de, Rubrik "Konferenzen". [Zurück]
- Internet: https://edpb.europa.eu/edpb_de (externer Link). [Zurück]