Datenschutzkonferenz: Gesetzgeber muss tätig werden
Der Gesetzgeber muss beim Beschäftigtendatenschutz und polizeilichen Datenanalysen tätig werden, ebenso bei Funkwasserzählern, fordert die Datenschutzkonferenz.
(Bild: rvlsoft/Shutterstock.com)
Die Datenschutzkonferenz von Bund und Ländern (DSK) hat auf ihrer Tagung das Positionspapier zu "Souveränen Clouds" verabschiedet, in dem sie die Weichen für weiteren rechtliche Auseinandersetzungen mit US-Cloudanbietern aller Art stellt. Überdies fordert die DSK den Gesetzgeber auf, endlich in Sachen Beschäftigtendatenschutz und polizeilicher Datenanalyse tätig zu werden, nachdem nun auch höchstrichterliche Urteile dies verlangen und damit auch längst bekannte Positionen der Datenschützer bestätigt haben. Hätte der Gesetzgeber diese beachtet, so der Tenor, wären ihm die peinlichen Urteile erspart geblieben. Neuen Handlungsbedarf sieht die DSK bei digitalen Funkwasserzählern.
Wann sind Clouds souverän?
Die DSK richtet sich mit ihrem Positionspapier nicht nur an diejenigen, die Clouds von Amazon, Google oder Microsoft nutzen, sondern auch direkt an die Cloud-Anbietenden. Damit ebnet sie auch den Weg für weitere Auseinandersetzungen zu Cloud-basierten Diensten wie ChatGPT.
Obgleich die Europäische Union die "digitale Souveränität" als Entwicklungsziel deklariert hat, ist damit noch kein Rechtsbegriff verbunden, auch gibt es kein einheitliches Verständnis. Gleichwohl fühlen sich die Aufsichtsbehörden angesprochen, da sie mit dem Problem tagtäglich konfrontiert werden, wenn Behörden und Unternehmen Clouds aus Ländern nutzen, die über kein gleichwertiges Datenschutzniveau verfügen.
Nach Auffassung der Datenschutzkonferenz geht es darum, für die Einhaltung der Rechte und Freiheiten der betroffenen Personen zu unterstützen. Entsprechend hält sie fest: "Eine ‚Souveräne Cloud‘verdient diesen Namen nur, wenn sie es dem Verantwortlichen ermöglicht, seinen datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen.
"Die entsprechenden Kriterien für die Umsetzung werden in dem Papier unter den Themen "Nachvollziehbarkeit durch Transparenz", "Datenhoheit und Kontrollierbarkeit", "Offenheit", "Vorhersehbarkeit und Verlässlichkeit" sowie "Regelmäßige Prüfung der aufgestellten Kriterien" vorgestellt. Unter anderem sind Überprüfungen ein Muss, Zertifizierungen ein Soll.
Gerichtsurteile setzen Gesetzgeber unter Druck
Die DSK erinnert die Bundesregierung außerdem daran, dass mit dem neuen Urteil des Europäischen Gerichtshofs vom 30. März 2023 zahlreiche deutschen Regelungen zum Beschäftigtendatenschutz nachgebessert werden müssen. Das Bundesarbeitsministerium wollte bereits vergangenen Sommer den Entwurf eines eigenen Beschäftigtendatenschutzgesetzes vorlegen, nachdem sein interdisziplinärer Beirat Beschäftigtendatenschutz dazu seinem Abschlussbericht vom Januar 2022 geraten hatte. Doch das steht nicht zuletzt aufgrund der anhaltenden Widerstände aus dem Arbeitgeberlager bis heute aus.
Ähnlich sieht es beim Thema von komplexen Datenanalysemethoden bei der Polizei aus. Das Bundesverfassungsgericht hatte in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen formuliert (1 BvR 1547/19 und 1 BvR 2634/20). Dabei bestätigte es im Wesentlichen die Forderungen, welche die DSK bereits 2019 aufgestellt hatte.
Die Datenschützer erwarten von den Gesetzgebern in den Ländern nun rasch "klare Rechtsgrundlagen und geeignete Rahmenbedingungen" zu schaffen, damit der Grundrechtsschutz betroffener Personen sichergestellt wird. Denn schon jetzt werden komplexe Datenanalysen durchgeführt, die auf maschinellem Lernen basieren.
Nach Smart Meter nun die Funkwasserzähler
Bei funkbasierten Kaltwasserzählern vermissen die Datenschützer schon einmal vorsorglich gesetzliche Regelungen – analog zu den Regelungen zum Einsatz von Smart Meter beim Strom- und Wärmeverbrauch. Auch hier lassen sich durch die aus der Ferne abrufbaren Verbrauchsdaten Rückschlüsse auf das Verhalten und die Lebensgewohnheiten in Haushalten ziehen, wenn die Daten oft ausgelesen werden. Gesetzlich geregelt werden müssten die konkreten Zwecke, der Umfang der Daten, die Häufigkeit der Abrufe und die Löschfristen. Entsprechende Sicherheitsmaßnahmen müssten nach dem Stand der Technik umgesetzt werden, hält die DSK fest.
(mack)
