02

Kernpunkte:

  • Ergebnisse der DSK im Jahr 2023
  • Datenschutz in der Forschung durch einheitliche Maßstäbe
  • Anwendungshinweise zum Angemessenheitsbeschluss
  • „EU-US Data Privacy Framework“
  • Chatkontrolle

2    Datenschutz und Informationsfreiheit – global und national

Datenschutz und Informationsfreiheit sind selbstverständlich nicht nur Landesthemen. Als Sprecherin der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder galt es für die Landesbeauftragte für Datenschutz Schleswig-Holstein, in besonderem Maße auch die nationalen, europäischen und internationalen Entwicklungen im Blick zu haben. Wichtige Ergebnisse der Arbeit über die Landesgrenzen hinweg und kommende Aufgaben werden im Folgenden vorgestellt.

2.1         Die Ergebnisse der DSK im Jahr 2023 im Überblick

Wir waren als Vorsitz der DSK für die Abstimmung und Veröffentlichung zahlreicher Positionierungen der Datenschutzkonferenz zuständig. Die folgende Liste umfasst die veröffentlichten Ergebnisse und illustriert damit die Vielfalt der Themen:

2.2          Datenschutz in der Gesundheitsforschung – besser mit einheitlichen Maßstäben

Forschung braucht den Austausch, Forschung endet oft nicht an den Grenzen eines Bundeslands. Gerade im Medizinbereich sind länderübergreifende Verbundforschung und multizentrische Studien keine Seltenheit. Doch zurzeit müssen je nach Forschungsstandort unterschiedliche datenschutzrechtliche Anforderungen beachtet werden. Das macht es für alle Beteiligten schwierig und kann sogar zu Nachteilen für die betroffenen Personen führen.

Von Vorteil für alle wären aufeinander abgestimmte gesetzliche Regelungen auf hohem Datenschutzniveau (siehe auch Tz. 1.1 zur Kompatibilität der rechtlichen Grundlagen). Dadurch ließe sich der Datenschutz in der länderübergreifenden Forschung stärken – und die Forschenden sähen sich keiner für sie oft unverständlichen Komplexität ausgesetzt.

Weil das Thema so wichtig ist, hatte sich die DSK bereits im Jahr 2022 damit beschäftigt, wie sich die Anforderungen der Forschung mit dem Datenschutzrecht verbinden lassen (41. TB, Tz. 2.4). Die Ergebnisse sind hier bereitgestellt worden:

Entschließung der DSK vom 23.03.2022: „Wissenschaftliche Forschung – selbstverständlich mit Datenschutz“:
https://www.datenschutzkonferenz-online.de/media/en/DSK_6_Entschliessung_zur_wissenschaftlichen_Forschung_final.pdf
Kurzlink: https://uldsh.de/tb42-2-2a

Entschließung der DSK vom 24.11.2022: „Petersberger Erklärung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung“:
https://www.datenschutzkonferenz-online.de/media/en/20221124_en_06_Entschliessung_Petersberger_Erklaerung.pdf
Kurzlink: https://uldsh.de/tb42-2-2b

Im Jahr 2023 hat die Datenschutzkonferenz die bestehenden Forschungsregelungen in den Landeskrankenhausgesetzen sowie den Datenschutzgesetzen von Bund und Ländern ausgewertet und auf dieser Basis Eckpunkte erarbeitet, um eine weitgehende Nutzung von Gesundheitsdaten zu Forschungszwecken im Einklang mit den Grundrechten zu normieren. Dazu müssen konkrete Garantien und Maßnahmen gesetzlich festgelegt werden.

Es gilt der Grundsatz:
Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten zu Forschungszwecken genutzt werden.

In den erarbeiteten Eckpunkten weist die Datenschutzkonferenz darauf hin, dass zwischen den verschiedenen Datenarten unterschieden werden solle (z. B. personenbezogenen Daten (Art. 4 Nr. 1 DSGVO), Gesundheitsdaten (Art. 4 Nr. 15 DSGVO) oder genetischen Daten (Art. 4 Nr. 13 DSGVO)). Soweit für besondere Forschungsgegenstände eine ausreichende Anonymisierung nicht gewährleistet werden kann (etwa für radiologische Bilddaten), sollten spezifische Regelungen getroffen werden, um einen angemessenen Schutz der Grundrechte der betroffenen Personen zu gewährleisten, z. B. durch zusätzliche technische und organisatorische Maßnahmen.

Darüber hinaus sind die Regelungen des Art. 9 Abs. 2 Buchst. j in Verbindung mit Art. 89 Abs. 1 DSGVO zu beachten. Im Gesetz selbst müssen angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Personen festgelegt werden. Angemessene und spezifische Maßnahmen in diesem Sinne können etwa sein:

  • Vorgaben für die Datenschutz-Folgenabschätzung (z. B. Betrachtungstiefe, Aufgabenzuweisungen für die Durchführung),
  • die Schaffung weiterer, über die in Artikel 15 ff. DSGVO hinausgehender Betroffenenrechte (z. B. spezifische Widerspruchsrechte, Vernichtung von Bioproben),
  • die Festlegung angemessener Sperrfristen, die den betroffenen Personen ermöglichen, ihre Rechte auszuüben, bevor mit ihren Daten geforscht werden darf (z. B. bei einem Widerspruchsrecht),
  • die Einbindung einer unabhängigen Treuhandstelle insbesondere zur Verschlüsselung, Anonymisierung oder Pseudonymisierung der Daten,
  • die Einrichtung von Datenintegrationszentren oder Forschungsplattformen, soweit konkrete, der DSGVO entsprechende Anforderungen an deren Ausgestaltung formuliert werden,
  • die Verpflichtung beteiligter Stellen zur Verschwiegenheit und die Schaffung korrespondierender Prozessrechte wie ein Beschlagnahmeverbot und Zeugnisverweigerungsrechte,
  • konkrete Festlegungen zur Ausgestaltung und Gewährleistung der Datenminimierung.

In bestimmten Fallkonstellationen unterliegen medizinische personenbezogene Daten dem absoluten Schutz des Kernbereichs privater Lebensgestaltung. Die DSK weist darauf hin, dass die Verarbeitung solcher menschenwürderelevanten Daten selbst zu Forschungszwecken nicht auf Grundlage einer gesetzlichen Regelung legitimiert werden kann.

Wesentlich ist zudem eine uneingeschränkte Datenschutzaufsicht in dem sensiblen Bereich der Verarbeitung von Gesundheitsdaten.

All dies sind Eckpunkte, mit denen sich rechtssicher ein hohes Datenschutzniveau in der medizinischen Forschung erreichen lässt – und zwar durch eine aufeinander abgestimmte zeitnahe rechtsklare und systematische Neustrukturierung der entsprechenden rechtlichen Regelungen.

Die Datenschutzaufsichtsbehörden bieten an, in Wahrnehmung ihrer Beratungsfunktion die Gesetzgeber vor und bei entsprechenden Gesetzesvorhaben zu unterstützen.

Entschließung der DSK vom 23.11.2023:

„Datenschutz in der Forschung durch einheitliche Maßstäbe stärken“:

https://www.datenschutzkonferenz-online.de/media/en/2023-11-23_DSK-Entschliessung_DS.pdf
Kurzlink: https://uldsh.de/tb42-2-2c

Was ist zu tun?
In der Gesundheitsforschung wäre eine Vereinheitlichung der rechtlichen Anforderungen auf hohem Datenschutzniveau von Vorteil. Ebenso wie die anderen Datenschutzaufsichtsbehörden in der DSK stehen wir gern zur Beratung und Unterstützung des Gesetzgebers zur Verfügung.

 

2.3          Beschäftigtendatenschutz – Fortschritte bisher nur hinter den Kulissen?

Kommt es oder kommt es nicht, das Beschäftigtendatenschutzgesetz? Die Datenschutzkonferenz hatte dies immer wieder gefordert und dem Gesetzgeber auch Unterstützung angeboten. Schließlich war das Thema auch im Koalitionsvertrag der Bundesregierung behandelt worden.

Aus dem Koalitionsvertrag 2021-2025 auf Bundesebene (Seite 17):
Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.

Wir berichteten bereits über die Entwicklungen der letzten Jahre (41. TB, Tz. 2.2), z. B. über die beim Bundesministerium für Arbeit und Soziales (BMA) zur Fortentwicklung des Beschäftigtendatenschutzes eingerichtete unabhängige und interdisziplinäre Expertenkommission, die im Januar 2022 Thesen und Empfehlungen vorgelegt hatte (40. TB, Tz. 2.6). Die Landesbeauftragte für Datenschutz Schleswig-Holstein hatte als vom Bundesarbeitsminister berufenes Beiratsmitglied an den Ergebnissen mitgearbeitet (39. TB, Tz. 2.4).

Thesen und Empfehlungen der Expertenkommission (Januar 2022):
https://www.bmas.de/SharedDocs/Downloads/DE/Arbeitsrecht/ergebnisse-beirat-beschaeftigtendatenschutz.pdf
Kurzlink: https://uldsh.de/tb42-2-3a

Im Jahr 2023 war ein wenig Bewegung wahrnehmbar. Zum einen hatte der EuGH am 30.03.2023 in der Rechtssache C‐34/21 über die Anforderungen an eine europarechtskonforme Umsetzung des Beschäftigtendatenschutzrechts in Hessen entschieden. Zum anderen legten im April 2023 das BMAS und das Bundesministerium des Innern und für Heimat (BMI) gemeinsam ein Eckpunktepapier mit Vorschlägen zum modernen Beschäftigtendatenschutz vor:

BMAS/BMI: Vorschläge für einen modernen Beschäftigtendatenschutz (April 2023):
https://www.denkfabrik-bmas.de/fileadmin/Downloads/Publikationen/Vorschlaege_fuer_einen_modernen_Beschaeftigtendatenschutz.pdf
Kurzlink: https://uldsh.de/tb42-2-3b

In Dialogrunden, die BMAS und BMI mit mehreren Stakeholdern führten, waren auch DSK-Mitglieder eingeladen gewesen, um diese Eckpunkte weiter zu diskutieren. Eigentlich war die Rede davon gewesen, dass bis Ende 2023 ein Entwurf für ein Beschäftigtendatenschutzgesetz vorgelegt würde. Dies scheint nun auf 2024 verschoben worden zu sein.

Daher soll an die letzten Entschließungen der DSK zum Beschäftigtendatenschutz erinnert werden:

Entschließung der DSK vom 29.04.2022: „Die Zeit für ein Beschäftigtendatenschutzgesetz ist ‚Jetzt‘!“:
https://datenschutzkonferenz-online.de/media/en/Entschliessung_Forderungen_zum_Beschaeftigtendatenschutz.pdf
Kurzlink: https://uldsh.de/tb42-2-3c

Entschließung der DSK vom 11.05.2023: „Notwendigkeit spezifischer Regelungen zum Beschäftigtendatenschutz!“:
https://www.datenschutzkonferenz-online.de/media/en/2023-05-11_DSK-Entschliessung_Beschaeftigtendatenschutz.pdf
Kurzlink: https://uldsh.de/tb42-2-3d

Wir werden weiter berichten.


Was ist zu tun?
In unserer Praxis der Datenschutzaufsicht spielen Fragen des Beschäftigtendatenschutzes immer wieder eine Rolle. Ein Beschäftigtendatenschutzgesetz könnte insgesamt zur Rechtssicherheit für die Arbeiter- und für die Beschäftigtenseite beitragen. Wir nehmen gerne Stellung zu vorgelegten Gesetzentwürfen oder auch zu weiteren untergesetzlichen Ansätzen im Bereich des Beschäftigtendatenschutzes.

 

2.4          Anwendungshinweise zum Angemessenheitsbeschluss „EU-US Data Privacy Framework”

Wer erinnert sich noch an „Safe Harbor? Oder an den „Privacy Shield? Unter diesen Begriffen waren Angemessenheitsbeschlüsse der EU-Kommission für die USA bekannt. Dazu muss man wissen, dass ein Verantwortlicher nicht einfach so personenbezogene Daten ins Ausland transferieren darf. Zunächst einmal ist – wie üblich – eine Rechtsgrundlage nötig. Doch zusätzlich ist nötig, dass aufseiten der Empfänger der Daten ein gleichwertiges Datenschutzniveau garantiert wird. Dafür gibt es verschiedene Instrumente, beispielsweise den Angemessenheitsbeschluss.

Die EU-Kommission kann in einem Angemessenheitsbeschluss für einen Staat die Gleichwertigkeit des Datenschutzniveaus mit Europa feststellen.

Der Transfer von personenbezogenen Daten aus Europa in die USA konnte auf diese Angemessenheitsbeschlüsse gestützt werden, bis der EuGH „Safe Harbor“ im Jahr 2015 bzw. den Nachfolger „Privacy Shield“ im Jahr 2020 für ungültig erklärte. Großer Kritikpunkt waren die weitreichenden Befugnisse für US-Sicherheitsbehörden, auf die übermittelten personenbezogenen Daten zuzugreifen.

Der Datentransfer in die USA war nach diesen Urteilen immer noch möglich, aber nur unter besonderen Bedingungen (39. TB, Tz. 2.5). Daher hatten die EU-Kommission und die USA die Verhandlungen erneut aufgenommen, um einen neuen Angemessenheitsbeschluss zu erreichen, der nun endlich den Kriterien des Datenschutzrechts und weiteren Gerichtsverfahren vor dem EuGH standhalten sollte.

Nach mehreren Jahren war es am 10.07.2023 so weit: Es gibt seitdem einen neuen Angemessenheitsbeschluss zum Datentransfer in die USA, der sich auf dem „EU-US Data Privacy Framework“ gründet. Dazu erhielten wir ebenso wie die anderen Datenschutzaufsichtsbehörden in Deutschland viele Fragen von öffentlichen und nichtöffentlichen Stellen. Aus diesem Grund hat die Datenschutzkonferenz am 04.09.2023 Anwendungshinweise zu dem Angemessenheitsbeschluss zum EU-US Data Privacy Framework veröffentlicht:

https://datenschutzkonferenz-online.de/media/ah/230904_DSK_Ah_EU_US.pdf
Kurzlink: https://uldsh.de/tb42-2-4a

Diese Anwendungshinweise geben zunächst Informationen zum Datenschutz bei Drittlandsübermittlungen. Es folgen Informationen für die Datenexporteure, also die Verantwortlichen und Auftragsverarbeiter, die Daten in die USA übermitteln. In einem weiteren Teil der Anwendungshinweise erfahren betroffene Personen, welche Rechtsschutz- und Beschwerdemöglichkeiten sie haben.

Bleibt denn der Angemessenheitsbeschluss „EU-US Data Privacy Framework“ gültig oder kann nun dasselbe passieren wie mit den Vorgängern „Safe Harbor“ und „Privacy Shield“? Das ist eine offene Frage. Bei dem neuen Angemessenheitsbeschluss handelt es sich um aktuell geltendes EU-Recht. Aber das ist nicht in Stein gemeißelt: Neben den vorgesehenen Evaluationen durch die EU-Kommission, aus denen Anpassungen oder eine Aufhebung resultieren können, bestehen Möglichkeiten für eine gerichtliche Überprüfung des neuen Angemessenheitsbeschlusses.

 

2.5          EU-Pläne zur Chatkontrolle – Gefahr einer anlasslosen Massenüberwachung

Wieder einmal gibt es Vorschläge, die Kommunikation im Internet überwachen zu lassen und dafür die technischen Gegebenheiten zu schaffen, die insbesondere zu einer Aufhebung von Ende-zu-Ende-Verschlüsselung führen würden (38. TB, Tz. 2.3; 39. TB, Tz. 2.2). Dieses Mal war das Argument der Kinderschutz: Im Mai 2022 hat die EU-Kommission einen Vorschlag für eine Verordnung zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern – in Kurzform: „Chatkontrolle“ – vorgelegt.

Chatkontrolle
Nach dem Vorschlag der EU-Kommission würden Anbieter von E-Mail-, Messenger- oder Chat-Diensten dazu verpflichtet, die Verbreitung von bekannten oder neuen Darstellungen sexuellen Kindesmissbrauchs oder die Kontaktaufnahme zu Kindern anhand bestimmter Indikatoren zu erkennen.

Selbstverständlich müssen Kinder vor sexuellem Missbrauch geschützt werden. Das hier gewählte Mittel ist aber kritisch, denn die digitale Kommunikation sämtlicher Nutzender wäre unterschiedslos und verdachtsunabhängig von einer Überwachung betroffen – und das über alle Lebensbereiche.

Das Gesetzesvorhaben würde von Anbietern verlangen, dass die mittlerweile für private Kommunikation weitgehend etablierte Ende-zu-Ende-Verschlüsselung aufgebrochen wird. Die Sicherheit zu schwächen ist aber keine gute Idee. Vor dem Einbauen absichtlicher Bruchstellen in die technischen Infrastrukturen ist zu warnen!

Wir haben gemeinsam mit den anderen DSK-Mitgliedern deutlich gemacht, dass es sich bei der vorgesehenen Chatkontrolle um eine anlasslose Massenüberwachung handelt, die nicht mit den Grundrechten auf Achtung des Privat- und Familienlebens, der Vertraulichkeit der Kommunikation und zum Schutz personenbezogener Daten vereinbar ist.

Entschließung der DSK vom 17.10.2023: „Geplante Chatkontrolle führt zu einer unverhältnismäßigen, anlasslosen Massenüberwachung!“:
https://www.datenschutzkonferenz-online.de/media/en/20231017DSKEntschliessungChatkontrolle.pdf
Kurzlink: https://uldsh.de/tb42-2-5a

Nachtrag von Anfang 2024: Der Europäische Datenschutzausschuss hat sich am 13.02.2024 in einer Stellungnahme kritisch zu gesetzlichen Entwicklungen im Bereich der Chatkontrolle geäußert:

EDSA: Statement 1/2024 on legislative developments regarding the Proposal for a Regulation laying down rules to prevent and combat child sexual abuse:
https://www.edpb.europa.eu/system/files/2024-02/edpb_statement_202401_proposal_regulation_prevent_combat_child_sexual_abuse_en.pdf
Kurzlink: https://uldsh.de/tb42-2-5b


Was ist zu tun?
Ende-zu-Ende-Verschlüsselung darf nicht torpediert werden. Zum Schutz der Kommunikation müssen die Infrastrukturen weiter abgesichert werden, statt die Sicherheit auszuhöhlen. Wo gesetzliche Eingriffe geplant werden, müssen diese verhältnismäßig sein – das ist bei einer anlasslosen Massenüberwachung eindeutig nicht der Fall.

 

2.6         Die neuen europäischen Digitalrechtsakte – und die DSGVO „bleibt unberührt“?

Es gab so viele neue Gesetze mit Datenschutzbezug, die im Jahr 2023 auf europäischer Ebene diskutiert und verhandelt wurden! Die Debatten waren wichtig, um noch rechtzeitig vor der Europawahl im Juni 2024 die Rechtsakte beschließen zu können.

Zu den neuen europäischen Digitalrechtsakten gehören insbesondere:

  • Daten-Governance-Gesetz (Data Governance Act – DGA): am 23.06.2022 in Kraft getreten, anwendbar ab 24.09.2023,
  • Gesetz über digitale Märkte (Digital Markets Act – DMA): am 01.11.2022 in Kraft getreten, anwendbar ab 02.05.2023,
  • Gesetz über digitale Dienste (Digital Services Act – DSA): am 16.11.2022 in Kraft getreten, anwendbar ab 17.02.2024,
  • Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie): am 16.01.2023 in Kraft getreten, in den Mitgliedstaaten umzusetzen bis zum 17.10.2024,
  • Richtlinie (EU) 2022/2557 über die Resilienz kritischer Einrichtungen (Critical Entities Resilience Directive, CER-Richtlinie): am 16.01.2023 in Kraft getreten, in den Mitgliedstaaten umzusetzen bis zum 17.10.2024,
  • Datengesetz (Data Act – DA): am 11.01.2024 in Kraft getreten, anwendbar ab 12.09.2025,
  • KI-Verordnung (Artificial Intelligence Act – AIA): voraussichtlich im Frühjahr 2024 in Kraft, anwendbar zwei Jahre später (2026),
  • Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act – CRA): voraussichtlich im Frühjahr 2024 in Kraft, anwendbar zwei Jahre später (2026),
  • Europäischer Gesundheitsdatenraum (European Health Data Space, EHDS): voraussichtlich im Frühjahr 2024 in Kraft, zur Anwendbarkeit lagen zum Redaktionsschluss noch keine Informationen vor.

All diese Rechtsakte wirken sich auf die Digitalisierung aus. Die europäischen Verordnungen stehen neben der DSGVO. Die gute Nachricht: Damit ist klargestellt, dass die Datenschutz-Grundverordnung nicht verdrängt wird. So heißt es beispielsweise in neuen Regelungen: „Die Verordnung (EU) 2016/679 bleibt unberührt.“

Aber es ist keine Überraschung, dass die Komplexität für die Verarbeiter und für deren Datenschutzbeauftragte steigt, wenn sie dafür einen Nachweis erbringen können sollen, dass sie nicht nur die datenschutzrechtlichen Anforderungen, sondern ebenfalls die zusätzlichen gesetzlichen Regelungen erfüllen. Auch die Datenschutzaufsichtsbehörden sind gefordert, wenn sie das Gesamtbild im Blick haben wollen.

Für die kommenden Monate und Jahre ist viel zu tun, um Verarbeitungen (auch) personenbezogener Daten zu prüfen und zu gestalten sowie die Verantwortlichen dahin gehend zu beraten, wie sie rechtssichere Lösungen erreichen können, die allen gesetzlichen Anforderungen gerecht werden.


Was ist zu tun?
Für die Datenschutzaufsichtsbehörden wird nicht nur die Abstimmung in der Datenschutzkonferenz weiterhin vonnöten sein, sondern es ist zumindest empfehlenswert, sich im Kreis der für verschiedene Aspekte der digitalen Verarbeitungen zuständigen Aufsichtsbehörden auszutauschen. Der nationale Gesetzgeber sollte dafür Sorge tragen, dass – wo nötig – die gebotene Zusammenarbeit auch gesetzlich abgesichert wird.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel