zurück zum Artikel

Datenschutzkonferenz: Gesetzgeber muss tÀtig werden

Christiane Schulzki-Haddouti

(Bild: rvlsoft/Shutterstock.com)

Der Gesetzgeber muss beim BeschÀftigtendatenschutz und polizeilichen Datenanalysen tÀtig werden, ebenso bei FunkwasserzÀhlern, fordert die Datenschutzkonferenz.

Die Datenschutzkonferenz von Bund und LĂ€ndern (DSK) hat auf ihrer Tagung [1] das Positionspapier zu "SouverĂ€nen Clouds" verabschiedet, in dem sie die Weichen fĂŒr weiteren rechtliche Auseinandersetzungen mit US-Cloudanbietern aller Art stellt. Überdies fordert die DSK den Gesetzgeber auf, endlich in Sachen BeschĂ€ftigtendatenschutz und polizeilicher Datenanalyse tĂ€tig zu werden, nachdem nun auch höchstrichterliche Urteile dies verlangen und damit auch lĂ€ngst bekannte Positionen der DatenschĂŒtzer bestĂ€tigt haben. HĂ€tte der Gesetzgeber diese beachtet, so der Tenor, wĂ€ren ihm die peinlichen Urteile erspart geblieben. Neuen Handlungsbedarf sieht die DSK bei digitalen FunkwasserzĂ€hlern.

Wann sind Clouds souverÀn?

Die DSK richtet sich mit ihrem Positionspapier [2] nicht nur an diejenigen, die Clouds von Amazon, Google oder Microsoft nutzen, sondern auch direkt an die Cloud-Anbietenden. Damit ebnet sie auch den Weg fĂŒr weitere Auseinandersetzungen zu Cloud-basierten Diensten wie ChatGPT.

Obgleich die EuropĂ€ische Union die "digitale SouverĂ€nitĂ€t" als Entwicklungsziel deklariert hat, ist damit noch kein Rechtsbegriff verbunden, auch gibt es kein einheitliches VerstĂ€ndnis. Gleichwohl fĂŒhlen sich die Aufsichtsbehörden angesprochen, da sie mit dem Problem tagtĂ€glich konfrontiert werden, wenn Behörden und Unternehmen Clouds aus LĂ€ndern nutzen, die ĂŒber kein gleichwertiges Datenschutzniveau verfĂŒgen.

Nach Auffassung der Datenschutzkonferenz geht es darum, fĂŒr die Einhaltung der Rechte und Freiheiten der betroffenen Personen zu unterstĂŒtzen. Entsprechend hĂ€lt sie fest: "Eine ‚SouverĂ€ne Cloud‘verdient diesen Namen nur, wenn sie es dem Verantwortlichen ermöglicht, seinen datenschutzrechtlichen Pflichten effektiv, nachprĂŒfbar und dauerhaft nachzukommen.

"Die entsprechenden Kriterien fĂŒr die Umsetzung werden in dem Papier unter den Themen "Nachvollziehbarkeit durch Transparenz", "Datenhoheit und Kontrollierbarkeit", "Offenheit", "Vorhersehbarkeit und VerlĂ€sslichkeit" sowie "RegelmĂ€ĂŸige PrĂŒfung der aufgestellten Kriterien" vorgestellt. Unter anderem sind ÜberprĂŒfungen ein Muss, Zertifizierungen ein Soll.

Gerichtsurteile setzen Gesetzgeber unter Druck

Die DSK erinnert [3] die Bundesregierung außerdem daran, dass mit dem neuen Urteil des EuropĂ€ischen Gerichtshofs vom 30. MĂ€rz 2023 [4] zahlreiche deutschen Regelungen zum BeschĂ€ftigtendatenschutz nachgebessert werden mĂŒssen. Das Bundesarbeitsministerium wollte bereits vergangenen Sommer den Entwurf eines eigenen BeschĂ€ftigtendatenschutzgesetzes vorlegen [5], nachdem sein interdisziplinĂ€rer Beirat BeschĂ€ftigtendatenschutz dazu seinem Abschlussbericht vom Januar 2022 geraten hatte. Doch das steht nicht zuletzt aufgrund der anhaltenden WiderstĂ€nde aus dem Arbeitgeberlager bis heute aus.

Ähnlich sieht es beim Thema von komplexen Datenanalysemethoden bei der Polizei aus. Das Bundesverfassungsgericht hatte in seinen Entscheidungen zu polizeilichen automatisierten Datenanalysen in Hamburg und Hessen Anforderungen formuliert (1 BvR 1547/19 und 1 BvR 2634/20). Dabei bestĂ€tigte es im Wesentlichen die Forderungen, welche die DSK bereits 2019 aufgestellt hatte.

Die DatenschĂŒtzer erwarten [6] von den Gesetzgebern in den LĂ€ndern nun rasch "klare Rechtsgrundlagen und geeignete Rahmenbedingungen" zu schaffen, damit der Grundrechtsschutz betroffener Personen sichergestellt wird. Denn schon jetzt werden komplexe Datenanalysen durchgefĂŒhrt, die auf maschinellem Lernen basieren.

Nach Smart Meter nun die FunkwasserzÀhler

Bei funkbasierten KaltwasserzĂ€hlern [7] vermissen die DatenschĂŒtzer schon einmal vorsorglich gesetzliche Regelungen – analog zu den Regelungen zum Einsatz von Smart Meter beim Strom- und WĂ€rmeverbrauch. Auch hier lassen sich durch die aus der Ferne abrufbaren Verbrauchsdaten RĂŒckschlĂŒsse auf das Verhalten und die Lebensgewohnheiten in Haushalten ziehen, wenn die Daten oft ausgelesen werden. Gesetzlich geregelt werden mĂŒssten die konkreten Zwecke, der Umfang der Daten, die HĂ€ufigkeit der Abrufe und die Löschfristen. Entsprechende Sicherheitsmaßnahmen mĂŒssten nach dem Stand der Technik umgesetzt werden, hĂ€lt die DSK fest.

Melden Sie sich zum KI-Update an Melden Sie sich zum KI-Update an [8]

(mack [9])

URL dieses Artikels:
https://www.heise.de/-9012417

Links in diesem Artikel:
[1] https://www.datenschutzkonferenz-online.de
[2] https://uldsh.de/DSK-SouvClouds
[3] https://uldsh.de/DSK-BeschaeftigtenDS
[4] https://curia.europa.eu/juris/liste.jsf?num=C-34%2F21
[5] https://www.heise.de/news/Streit-um-Beschaeftigten-Datenschutzgesetz-7089189.html
[6] https://uldsh.de/DSK-DatenanalysePolizei
[7] https://uldsh.de/DSK-Funkwasser
[8] https://www.heise.de/newsletter/anmeldung.html?id=ki-update&wt_mc=intern.red.ho.ho_nl_ki.ho.markenbanner.markenbanner
[9] mailto:mack@heise.de

Copyright © 2023 Heise Medien