Kernpunkte:
- Ergebnisse der DSK im Jahr 2024
- Die DSK im Dialog
- Digitalzwang
- Cyberresilienz: Sicherheit by Design
2 Datenschutz und Informationsfreiheit – global und national
Datenschutz und Informationsfreiheit sind nicht nur Themen für Schleswig-Holstein, sondern werden selbstverständlich stark von Entwicklungen auf nationaler, europäischer und internationaler Ebene beeinflusst. Diese Entwicklungen gilt es im Blick zu haben. Einige wichtige Themen im Jahr 2024 werden im Folgenden dargestellt.
2.1 Die Ergebnisse der DSK im Jahr 2024 im Überblick
Da wir unsere Rolle als Vorsitz der DSK aus dem Jahr 2023 mehrere Monate lang im Jahr 2024 fortgesetzt haben, waren wir auch in besonderem Maße an der Abstimmung und Veröffentlichung zahlreicher Positionierungen der Datenschutzkonferenz zuständig. Aus der folgenden Liste ist die Vielfalt der Themen ersichtlich, mit denen sich die DSK im Berichtsjahr beschäftigt hat:
- 24.01.2024: Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressent:innen, Version 1.0
Kurzlink: https://uldsh.de/tb43-2-1a - 03.05.2024: Positionspapier zu nationalen Zuständigkeiten für die Verordnung zur künstlichen Intelligenz
Kurzlink: https://uldsh.de/tb43-2-1b - 06.05.2024: Orientierungshilfe zu künstlicher Intelligenz und Datenschutz, Version 1.0
Kurzlink: https://uldsh.de/tb43-2-1c - 14.05.2024: Das Standard-Datenschutzmodell – Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, Version 3.1 (Tz. 6.2.2)
Kurzlink: https://uldsh.de/tb43-2-1d - 15.05.2024: Entschließung „Besserer Schutz von Patientendaten bei Schließung von Krankenhäusern“
Kurzlink: https://uldsh.de/tb43-2-1e - 15.05.2024: Positionspapier „Anforderungen an die Sekundärnutzung von genetischen Daten zu Forschungszwecken“
Kurzlink: https://uldsh.de/tb43-2-1f - 16.08.2024: Orientierungshilfe zur Datenverarbeitung im Zusammenhang mit funkbasierten Zählern, Version 1.0
Kurzlink: https://uldsh.de/tb43-2-1g - 19.08.2024: Positionspapier „Datenschutzrechtliche Grenzen des Einsatzes von Bezahlkarten zur Leistungsgewährung nach dem Asylbewerberleistungsgesetz (AsylbLG)“
Kurzlink: https://uldsh.de/tb43-2-1h - 11.09.2024: Entschließung „Recht auf kostenlose Erstkopie der Patientenakte kann durch eine nationale Regelung nicht eingeschränkt werden! Datenschutzaufsichtsbehörden sehen konkreten Handlungsbedarf auf Seiten der Heilberufskammern“
Kurzlink: https://uldsh.de/tb43-2-1i - 11.09.2024: Positionspapier „DS-GVO privilegiert wissenschaftliche Forschung“
Kurzlink: https://uldsh.de/tb43-2-1j - 11.09.2024: Beschluss: „Übermittlungen personenbezogener Daten an die Erwerberin oder den Erwerber eines Unternehmens im Rahmen eines Asset-Deals“
Kurzlink: https://uldsh.de/tb43-2-1k - 20.09.2024: Entschließung „Vorsicht bei dem Einsatz von Gesichtserkennungssystemen durch Sicherheitsbehörden“
Kurzlink: https://uldsh.de/tb43-2-1l - November 2024: Orientierungshilfe für Anbieter:innen von digitalen Diensten (OH Digitale Dienste), Version 1.2
Kurzlink: https://uldsh.de/tb43-2-1m - November 2024: Orientierungshilfe zu ausgewählten Fragestellungen des neuen Onlinezugangsgesetzes – Anwendungshilfe für Stellen, die (länderübergreifende) Onlinedienste nach OZG betreiben oder nutzen, Version 1.0
Kurzlink: https://uldsh.de/tb43-2-1n - 19.12.2024: Entschließung „Menschenzentrierte Digitalisierung in der Daseinsvorsorge sicherstellen!“
Kurzlink: https://uldsh.de/tb43-2-1o
2.2 Die DSK im Dialog
„Nicht über uns reden, sondern mit uns!“ – Das könnte das Motto der 2024 eingerichteten Dialoggruppe der DSK sein, die wir leiten. Ihr Ziel ist eine verbesserte und vertrauensvolle Kommunikation beispielsweise mit den Interessenvertretungen der Datenschutzbeauftragten in Organisationen. Dabei trifft sich eine kleine Delegation der DSK mit Repräsentantinnen und Repräsentanten dieser Interessenvertretungen.
So organisiert die Dialoggruppe der DSK zur Förderung des Austausches Dialogtreffen mit bundesweit agierenden Organisationen, die einen besonderen Bezug zu Datenschutz und den Aufgaben und Tätigkeiten der DSK aufweisen. Zu diesen Organisationen gehören regelmäßig nur Interessenverbände von betrieblichen oder behördlichen Datenschutzbeauftragten. Wenn es von beiden Seiten gewünscht ist, können die Dialogtreffen regelmäßig (z. B. einmal jährlich) stattfinden.
Die bisherigen Treffen, die bislang alle in Präsenz stattfanden, waren ein Informationsgewinn für alle Beteiligten. Die Vorteile liegen auf der Hand: Einerseits erfährt die DSK dabei, welche Themen in der Datenschutzpraxis vor Ort besonders dringlich sind, andererseits kann sie auch vermitteln, wann etwa mit Leitlinien auf europäischer Ebene oder Orientierungshilfen auf nationaler Ebene zu rechnen ist. Missverständnisse lassen sich so im direkten Gespräch klären. Die Dialoggruppe nimmt auch (möglichst konstruktive) Kritik auf, um auf die einheitliche Anwendung des europäischen und nationalen Datenschutzrechts hinzuwirken und Verbesserungen in der praxistauglichen Umsetzung der Datenschutzanforderungen zu erreichen.
Die DSK hat die Dialoggruppe zunächst bis zum Herbst 2026 eingesetzt. Dann wird evaluiert, ob sie sich als Instrument bewährt hat und ob und in welcher Form sie gegebenenfalls fortgeführt werden soll.
2.3 Menschenzentrierte Digitalisierung in der Daseinsvorsorge
Dass Deutschland in Sachen Digitalisierung einigen Nachholbedarf hat, ist wohl unbestritten. Es kommt aber auf das Wie an – Digitalisierung ist kein Wert an sich. In letzter Zeit erreichen uns und die anderen Datenschutzaufsichtsbehörden immer mehr Beschwerden und Anfragen zu Situationen, in denen Menschen ohne Eröffnung eines digitalen Kontos oder ohne Smartphone und installierter App bestimmte Dienstleistungen nicht mehr in Anspruch nehmen können.
Die Datenschutzkonferenz hat sich mit diesem Effekt, der auch als Digitalzwang bezeichnet wird, beschäftigt, soweit Leistungen der Daseinsfürsorge betroffen sind. In einer Entschließung bekennen wir uns zu dem Leitbild einer menschenzentrierten Digitalisierung als ein wichtiges politisches Ziel in der Europäischen Union. Zugleich ist uns aber wichtig, dass dabei die Grundrechte gewahrt bleiben und auch die Datenschutzgrundsätze aus Artikel 5 DSGVO beachtet werden. Der menschenzentrierte Ansatz drückt aus, dass es einen Schutz derjenigen geben muss, die nicht digital agieren können oder dies nicht wollen. Diese Menschen sollen nicht von Leistungen der Daseinsvorsorge ausgeschlossen werden. Dazu gehören zentrale Verkehrsdienstleistungen, die Energie- oder Wasserversorgung oder auch öffentlich geförderte kulturelle Dienstleistungen.
Betroffen sind z. B. all diejenigen, die aufgrund körperlicher oder geistiger Beeinträchtigung, ihres Alters (Minderjährige ebenso wie Ältere), wegen fehlender Praxisnähe im Umgang mit digitaler Datenverarbeitung (Technikferne) oder unzureichender Mittel nicht in der Lage sind, die digitale Technik zu nutzen – oder die in Ausübung ihres Grundrechts auf Datenschutz ihre Daten nicht preisgeben wollen, denn in den meisten Fällen, die uns bekannt werden, sind mit den Digitallösungen zusätzliche Risiken verbunden. Hier wird besonders deutlich, dass die Prinzipien von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Data Protection by Design and Default) nach Artikel 25 DSGVO oft nicht umgesetzt werden. Demnach muss der Verantwortliche bereits bei der Planung von Digitalisierungsprojekten, aber auch bei ihrer Realisierung insbesondere geeignete Maßnahmen zur Datenminimierung, aber auch zu allen anderen Datenschutzgrundsätzen treffen.
Die Datenschutzkonferenz hat in einer Entschließung dargestellt, dass man allein mit Mitteln des Datenschutzes keine befriedigenden Lösungen für die Menschen, die wegen fehlender digitaler Möglichkeiten von wichtigen Leistungen der Daseinsvorsorge ausgeschlossen bleiben, erreichen kann. So würde eine gerichtliche Klärung von Einzelfällen zumeist viel zu lange dauern, um eine Teilhabe effektiv zu ermöglichen. Daher fordert die DSK klare gesetzliche Leitplanken für eine menschenzentrierte Digitalisierung im Bereich der Daseinsvorsorge.
Die Entschließung „Menschenzentrierte Digitalisierung in der Daseinsvorsorge sicherstellen!“ vom 19.12.2024 ist unter dem folgenden Link abrufbar:
https://www.datenschutzkonferenz-online.de/media/en/2024-12-19_DSK-Entschliessung_Menschenzentrierte-Digitalisierung.pdf
Kurzlink: https://uldsh.de/tb43-2-3a
Was ist zu tun?
Die Maxime der menschenzentrierten Digitalisierung sollte insbesondere bei der Daseinsvorsorge leitend sein. Dies betrifft die konkrete Gestaltung von Verarbeitungen personenbezogener Daten. Zu überlegen sind auch gesetzliche Leitplanken.
2.4 Cyberresilienz: Sicherheit by Design
Artikel 25 DSGVO
(1) […] trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen […], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
Seit Jahren, nein, sogar seit Jahrzehnten, sprechen wir von „Datenschutz by Design“, bei dem der Datenschutz in die Produkte und Dienstleistungen eingebaut ist. Mit Geltung der Datenschutz-Grundverordnung kam auch das Prinzip „Datenschutz durch Technikgestaltung“ (englisch: „Data Protection by Design“), das gemäß Artikel 25 DSGVO umzusetzen ist.
Doch in der Praxis vernehmen wir Klagen von Verantwortlichen, dass die Hersteller ihrer Produkte nicht den Artikel 25 DSGVO umsetzen, denn sie sehen sich gar nicht als Verpflichtete nach der Datenschutz-Grundverordnung. Ja, es stimmt: Artikel 25 DSGVO richtet sich an die Verantwortlichen selbst, nicht an Hersteller. Den Hersteller trifft also keine unmittelbare Pflicht aus der DSGVO, es sei denn, er wird durch eine eigene Verarbeitung von personenbezogenen Daten zu einem Verantwortlichen (oder im Fall von Artikel 28 DSGVO zum Auftragsverarbeiter).
Tatsächlich kommen die Hersteller nur in Erwägungsgrund 78 der DSGVO vor, in dem es heißt, sie sollten „ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte […] zu berücksichtigen“. Man streitet sich, was diese „Ermutigung“ bedeuten soll – jedenfalls handelt es sich nicht um eine direkte Rechtspflicht des Herstellers.
Erwägungsgrund 78 der DSGVO, Satz 4
In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Es gibt aber andere Rechtsnormen, die vom Hersteller bestimmte Zusicherungen verlangen, welche zumindest einen Beitrag zur Datenschutzkonformität leisten können. In diesem Zusammenhang wird das Cyberresilienzgesetz (Cyber Resilience Act, CRA) interessant, das im Jahr 2024 verabschiedet wurde. Es handelt sich dabei um die erste europäische Verordnung, die Cybersicherheit für Produkte auf dem EU-Markt verlangt, die digitale Elemente aufweisen. Davon sind ebenso Hardwareprodukte mit vernetzten Funktionen (z. B. Smartphones, Router oder vernetzte Küchengeräte) wie Software (z. B. Apps) umfasst.
Kurzum: Hersteller müssen nun für ihre vernetzten Produkte „Informationssicherheit by Design“ erfüllen. Wie groß das Maß an Sicherheit ist, das der Hersteller gewährleisten muss, hängt vom Risiko ab. Zum einen muss der Hersteller die Umsetzung der Sicherheitsziele für die vorhersehbaren Einsatzzwecke konzipieren, die notwendigen Maßnahmen treffen und dies auch dokumentieren. Zum anderen gehört zu den Anforderungen auch die Einrichtung eines Systems zum Umgang mit Schwachstellen. Ziel ist das Aufrechterhalten des notwendigen Sicherheitsniveaus über den gesamten Lebenszyklus – einschließlich der Bereitstellung nötiger Software-Updates. Dass der Hersteller seinen Pflichten nachkommt, wird durch eine CE-Kennzeichnung der Produkte bestätigt. Diese Produkte werden nach dem Cyberresilienzgesetz künftig eine umfassende technische Dokumentation für die Organisationen, die sie einsetzen, bereithalten. Ein Teil der mitgelieferten Informationen wird sich speziell an Nutzende richten, weshalb auf eine möglichst gute Verständlichkeit geachtet werden muss (siehe auch Tz. 8.3). So wird beispielsweise über zu treffende Maßnahmen nicht nur für eine sichere Verwendung ab der Inbetriebnahme und während der gesamten Lebensdauer, sondern ebenfalls für eine sichere Außerbetriebnahme des Produkts einschließlich der sicheren Löschung von etwa gespeicherten (personenbezogenen) Nutzungsdaten informiert – das betrifft typische Datenschutzrisiken.
„Sicherheit by Design“ wäre ein großer Schritt vorwärts. Noch besser ist jedoch die Erweiterung zu „Datenschutz UND Sicherheit by Design“. Und vielleicht wird es eines Tages für die Verantwortlichen viel einfacher sein, die Vorgaben des Artikels 25 DSGVO zu erfüllen – einfach weil sie alle nötigen Informationen endlich direkt vom Hersteller erhalten und in der Entwicklung bereits Datenschutz- und Sicherheitsanforderungen gleichermaßen eingeflossen sind.
Was ist zu tun?
Wir werden die Synergien zwischen den Vorgaben des Cyberresilienzgesetzes und den Datenschutzanforderungen ausloten. Verantwortliche sollten die technische Dokumentation als Grundlage für Entscheidungen zur Auswahl und zum Betrieb von Hardware- und Softwareprodukten bei der Verarbeitung personenbezogener Daten verwenden.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
