Bundesdatenschützer Kelber mahnt Bundesregierung und kritisiert EU-Kommission
Von der Facebook-Fanpage der Bundesregierung bis zur Chatkontrolle: Bundesdatenschützer Ulrich Kelber sparte nicht mit Kritik bei seinem Tätigkeitsbericht.
(Bild: Tero Vesalainen/Shutterstock.com)
Der Bundesdatenschutzbeauftragte Ulrich Kelber hat keine Langeweile in diesen Zeiten. 10.614 Meldungen von Datenschutzverstößen gingen 2022 beim BfDI ein, 500 mehr als noch im Vorjahr. Bis Ende der Woche erwartet Kelber zudem die Entscheidung des Bundespresseamtes (BPA), ob dieses – wie von Kelber per Bescheid angeordnet – den Betrieb der Facebook-Fanpage "Bundesregierung" einstellt, wonach es derzeit nicht aussieht. Bei der Vorstellung des Jahresberichts der Datenschutzaufsichtsbehörde forderte der frühere SPD-Bundestagsabgeordnete Kelber die Bundesregierung auf, Klarheit zu schaffen.
Wenn seitens der Bundesregierung nicht geklagt würde, müsste erst einmal abgeschaltet werden, erläuterte Kelber. "Es gab in diesem Beratungsprozess einige Anpassungen, die aber leider aus unserer Sicht das Hauptproblem nicht gelöst haben. Also wenn der Weg datenschutzkonform machbar ist, dann kann natürlich auch der Betrieb aufrechterhalten werden." Bis Freitag müsse das BPA hier gegebenenfalls tätig werden.
Gesundheitsdigitalisierung als Streitpunkt
Einen Schwerpunkt legte Kelber bei der Pressekonferenz in Berlin auf die Frage der Gesundheitsvorhaben. "Wir sind große Fans der Digitalisierung im Gesundheitswesen", sagte der Informatiker Kelber, "Und vor Ihnen sitzt jemand, der als Privatperson eine elektronische Patientenakte möchte." Unter anderem dazu hatte das Gesundheitsministerium vergangene Woche im Zuge der Ankündigung einer neuen Digitalstrategie umfangreiche Änderungen angekündigt. So soll etwa die elektronische Patientenakte künftig vom Opt-In- zum Opt-Out-Modell wechseln.
Kelber betonte heute, dass an vielen Stellen noch die Konkretisierung durch das von Karl Lauterbach geführte Gesundheitsministerium fehle, der BfDI (Bundesbeauftragte für Datenschutz und Informationsfreiheit) aber natürlich bei den geplanten Gesetzesvorhaben eine Stellungnahme abgeben werde. "Es geht darum, dass man nicht aus scheinbaren Komfortgründen auf grundlegende Datenschutz- und IT-Sicherheitsmaßnahmen verzichten darf", machte Kelber seine Position klar. Das betreffe unter anderem die Frage, wer wann welche Daten sehen dürfe. Es gebe auch weiter keine Lösung "für Versicherte bei der elektronischen Patientenakte, die nicht die Kontrolle ihrer elektronischen Patientenakte über ein geeignetes Smartphone oder Tablet abwickeln wollen." Statt dass hierfür endlich Lösungen geschaffen würden, klagten Krankenkassen gegen eine entsprechende Verfügung der Datenschützer und wendeten dafür die Gelder der Versicherten auf. Bei einer zweiten Verpflichtung von Krankenkassen sei man hingegen erfolgreich gewesen, dass nämlich dokumentengenaue Einstellungen möglich sein müssten.
Viele Fragen rund um die ePA noch ungeklärt
Für die Zukunft seien aber noch viele Fragen ungeklärt, etwa die Frage, wie Leserechte eingeschränkt werden könnten oder wie ein Opt-Out für die Verwendung als Forschungsdaten aussehe, sei noch nicht weiter konkretisiert. Die Kritik der Datenschutzaufsichtsbehörden richte sich insgesamt auch nicht gegen eine bessere Datennutzung zur Gesundheitsdatenforschung, betonte der Bundesdatenschutzbeauftragte - auch hier gehe es um die konkrete Umsetzung.
Gegen den Plan des BMG, bei Forschungsdatenprojekten künftig nur noch eine Datenschutzaufsichtsbehörde für zuständig zu erklären, wandte sich Kelber nicht pauschal: Hier komme es darauf an, dass eine zuständige Landesdatenschutzaufsicht aber auch in der Lage sein müsste, große Forschungsprojekte zu bewerten und zu begleiten: "Viele meiner Kolleginnen und Kollegen in den Landesdatenschutzbehörden werden nach wie vor extrem knapp gehalten, was ihre personellen Ressourcen angeht."
Konkrete Einwände erhob Kelbers Behörde im Fall einer Einlösungsplattform für elektronische Rezepte, weil es dort "grundlegende starke IT-Sicherheitsprobleme gegeben hatte. Ohne großen Aufwand hätte man auf die Daten aller Versicherten von über 18.000 Stellen in der Republik zugreifen können", so Kelber heute. Der BfDI habe daraufhin komfort- und funktionsgleiche Vorschläge gemacht, wie eine datenschutzkonforme Lösung aussehen könne.
CSA-Verordnung: Kelber kritisiert Chatkontrolle
Scharfe Kritik äußerte Kelber an der geplanten sogenannten Chatkontrolle, die EU-Innenkommissarin Ylva Johansson vorgeschlagen hatte. Im Vorschlag der Kommission für eine bessere Ermittlung und Verfolgung von Darstellungen sexuellen Kindesmissbrauchs sind umfangreiche Pflichten für Anbieter von Plattformen, für Hoster und nummernunabhängige Kommunikationsdienste – sprich Chatsysteme – vorgesehen. Letztere sollen, wenn Inhalte Ende-zu-Ende-verschlüsselt sind, vor der Verschlüsselung Inhalte auf mögliche Rechtsverstöße prüfen oder andere Wege zur Kontrolle anbieten. "Besonders schwierig ist die Frage des Aufbrechens, egal welcher Art sicherer Verschlüsselung", sagt Kelber. "Das ist etwas, was unbedingt unterbleiben muss, weil es viele andere gefährliche Folgen mit sich zieht, inklusive der verbesserten Angriffsmöglichkeiten Dritter von außen."
Auch die aktive Prüfung von abgelegten Dateien bei den Anbietern sieht Kelber kritisch: "Die Durchleuchtung sämtlicher vorhandener Daten, damit tiefe Einblicke in die private Lebensgestaltung ist ebenfalls kritisch zu sehen, vor allem, weil der damit erfolgte Schutz auch von Experten und Experten aus der Strafverfolgung und des Kinderschutzes eher als gering bewertet wird."
Viel Schatten, etwas Licht
Aber auch in anderen Bereichen hat Kelber scharfe Kritik im Angebot. So empfiehlt er in seinem Bericht etwa die Überarbeitung der im Telemedien-Teledienste-Datenschutzgesetz vorgesehenen Regelungen für Datentreuhänder "grundsätzlich zu überarbeiten", da die derzeitige Regelung seiner Ansicht nach nicht DSGVO-konform sei. Außerdem sollten – mangels Nutzen – die sogenannte Antiterrordatei und die Rechtsextremismusdatei abgeschafft werden. Auch dass der BfDI, der bei vielen Gesetzen im Gesetzgebungsverfahren eine Stellungnahme abgeben soll, auch 2022 regelmäßig nur mit sehr kurzen Fristen beteiligt wurde, etwa bei Regelungen zur Covid-Pandemiebekämpfung, kritisiert Kelber in seinem Bericht deutlich.
Allerdings konnte Kelber in seinem Tätigkeitsbericht auch Positives vermelden: so sei etwa das Konzept des Bundesinnenministeriums für das Vorgangsbearbeitungssystem im Bundeskriminalamt gelungen und solle nun umgesetzt werden, Apps des Bundes sollen künftig auch auf alternativen Stores bereitgestellt werden und die Deutsche Rentenversicherung Bund habe ihren Datenschutz grundlegend neu organisiert.
(axk)