Jahresbericht: Bundesdatenschützer mahnt besseren Beschäftigtendatenschutz an

Insgesamt 10.106 Meldungen von Datenschutzverstößen erreichten den Bundesdatenschutzbeauftragten 2021. Zu tun hatte er etwa mit der ePA und Sormas.

In Pocket speichern vorlesen Druckansicht 34 Kommentare lesen
Giant,Surveillance,Camera,Spies,A,Man.,No,Secrets,,No,Privacy

(Bild: Wit Olszewski/shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, hat am Dienstag der Präsidentin des Bundestags, Bärbel Bas (SPD), seinen Tätigkeitsbericht für das Jahr 2021 übergeben. Nachdrücklich appelliert er darin an die Ampel-Koalition, endlich ein Gesetz zum Beschäftigtendatenschutz zeitnah auf den Weg zu bringen und zu verabschieden.

Bereits voriges Jahr hatte Kelber dem Gesetzgeber empfohlen, von der in der Datenschutz-Grundverordnung (DSGVO) eingeräumten Möglichkeit für eine solche Initiative bald Gebrauch zu machen. Seit vielen Jahren fordern die Datenschutzaufsichtsbehörden von Bund und Ländern eine bessere Absicherung von Arbeitnehmern vor Überwachung und unmäßiger Datenverarbeitung. Heute ist dies dem Bericht nach umso dringender, da die rasant fortschreitende Digitalisierung in Betrieben und Verwaltungen zu tiefgreifenden Veränderungen der Arbeitswelt führe.

Datengetriebene Prozesse prägten mittlerweile den Alltag vieler Beschäftigter, führt der Kontrolleur aus. In Betrieben und Behörden entstünden immer mehr und detailliertere Datensätze. Verbunden mit neuen Optionen zur Verknüpfung und Auswertung biete dies Chancen für eine effizientere Gestaltung der Arbeitsorganisation. Parallel erhöhe sich für Beschäftigte aber das Risiko, "ihre Privatsphäre bis hin zu einer totalen Überwachung einzubüßen".

Der von Bundesarbeitsminister Hubertus Heil im Sommer 2020 eingesetzte interdisziplinäre Beirat Beschäftigtendatenschutz prüfte unter Beteiligung des BfDI unter anderem, inwieweit Regelungen für den Schutz der Rechte von Beschäftigten in der digitalen Arbeitswelt notwendig sind, ist der Zusammenschau zu entnehmen. Die Kurzfassung des entsprechenden Berichts sei dem SPD-Politiker im Januar übergeben worden.

Kelber begrüßte, dass der Koalitionsvertrag ein Bekenntnis zum Schaffen von Regeln zum Beschäftigtendatenschutz enthält, um Rechtsklarheit auch für Arbeitgeber zu erreichen und die Persönlichkeitsrechte effektiv zu schützen. Er hoffe, "dass diese Chance in der 20. Legislaturperiode endlich ergriffen wird". Zuvor waren nicht nur während der Großen Koalition alle Anläufe der SPD für mehr gesetzlichen Arbeitnehmerdatenschutz gescheitert. Der DGB legte nun jüngst einen eigenen Entwurf vor, um die Politik zum Jagen zu tragen.

Im Gesundheitssektor beschäftigte die Aufsichtsbehörde neben dem schon 2020 hochgekochten Streit über die Möglichkeiten zur Einsichtnahme in die elektronische Patientenakte (ePA) durch Versicherungsnehmer unter anderem der umkämpfte Neustart des Forschungsdatenzentrums beim Bundesinstitut für Arzneimittel und Medizinprodukte. Damit Informationen der Krankenkassen und von 2023 an aus den ePAs datenschutzkonform und verschlüsselt dorthin gelangen könnten, müssen dem Bericht zufolge "eine Fülle technischer Festlegungen" getroffen werden.

Dazu gehört das Verfahren, nach dem die Vertrauensstelle in Form des Robert Koch-Instituts eine Pseudonymisierung durchführt. Entstehen soll ein "periodenübergreifenden Pseudonym" (PüP), das der Zuordnung der Krankenkassendaten über Jahre hinweg dienen soll. Für die Freigabe aus der ePA musste neben dem Verschlüsselungsverfahren über die zugehörige App festgelegt werden, "wo die Einwilligung dokumentiert und die Freigabe auch dem Umfang nach protokolliert wird". Zudem galt es sicherzustellen, "dass im Falle des Widerrufs der Einwilligung die Daten unverzüglich gelöscht werden". Das Thema werde den BfDI auch die nächsten Jahre begleiten.

Die Corona-Warn-App (CWA) ist aus Sicht des BfDI nicht nur national "zu einer erfolgreichen Referenz bei der Bekämpfung der Pandemie mit Smartphone-Apps geworden". Ihre Rolle in einem Gesamtkonzept zur Pandemiebekämpfung, bei der sie mit anderen Maßnahmen zusammenwirkt, könnte aber noch deutlich verbessert werden. Bei der Kontaktverfolgung mit dem System Sormas in Gesundheitsämtern sei die Kooperation mit dem Entwickler, dem Helmholtz-Zentrum für Infektionsforschung (HZI), dagegen lange holprig verlaufen. Erst zum Jahresende habe sie sich verbessert.

Der Statistik zufolge führte die Behörde voriges Jahr 139 Kontrollen durch, von denen pandemiebedingt 114 schriftlich erfolgen mussten. Ferner erreichten sie insgesamt 10.106 Meldungen von Datenschutzverstößen, die insbesondere von Finanzämtern, Jobcentern und Telekommunikationsanbietern stammten. Das sind etwas mehr als 2020, als es 10.024 waren. Dazu kamen 622 Eingaben mit Bezug zum Informationsfreiheitsrecht.

Bürger wandten sich 2021 mit 6829 Beschwerden und Eingaben an den Bundesdatenschutzbeauftragten, rund 1000 weniger als im Vorjahr. Die Behörde beriet ferner 7124 Personen telefonisch. Nach der großen Welle des Anfrageaufkommens zum Start der DSGVO hat sich ihr zufolge der Beratungsbedarf offenbar auf recht hohem Niveau eingependelt.

(mho)