Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Die Stellungnahme wurde durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unter der Enthaltung von Baden-Württemberg beschlossen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) unterstützt die Entwicklung und den datenschutzkonformen Einsatz von Kontaktnachverfolgungssystemen. Digitale Anwendungen für diesen Zweck erleichtern die Erfüllung der Aufzeichnungspflichten von Veranstaltern und können die Kontaktnachverfolgung durch die Gesundheitsämter beschleunigen. Zudem können sie im Vergleich zur Führung von schriftlichen Listen den Vorteil bieten, dass den Veranstaltern keine Namen oder andere identifizierende Angaben über ihre Gäste bekannt werden und diese Angaben auch gegenüber Dritten durch Verschlüsselung geschützt werden. Die DSK hat daher zeitgleich eine Orientierungshilfe zu digitalen Kontaktnachverfolgungssystemen veröffentlicht, in der die datenschutzrechtlichen Anforderungen aufgezeigt werden, die an derartige Systeme und ihren Betrieb anzulegen sind.

Im Januar 2018 wurde der vom Ministerium für Inneres, ländliche Räume und Integration des Landes Schleswig-Holstein (MILI) erstellte Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 als Landtags-Drucksache 19/429 veröffentlicht. Das Unabhängige Landeszentrum für Datenschutz (ULD) hatte bereits im Rahmen der Verbändeanhörung eine Stellungnahme gegenüber dem MILI zu dem seinerzeitigen Entwurf abgegeben. Erfreulicherweise wurden einige der eher gesetzessystematischen Anmerkungen des ULD berücksichtigt und sind in den aktuellen Entwurf eingeflossen.

Gleichwohl bietet der vorliegende Entwurf noch Anlass zur Kritik, es besteht noch Raum für
Verbesserungen. Die aus Sicht des ULD problematischsten Aspekte sind an den Anfang dieser
Stellungnahme gestellt.

Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD)

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Berliner Beauftragter für Datenschutz und Informationsfreiheit
Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

 

 

Das ULD nimmt zu einem Gesetzentwurf Stellung, der Lehren aus den Ermittlungspannen zum NSU zieht. Das ULD kritisiert die Regelungsvorschläge, die zusätzliche Datenverarbeitungsbefugnisse für das Bundesamt für Verfassungsschutz (BfV) vorsehen, wegen ihrer Unbestimmtheit und Unverhältnismäßigkeit und der Beeinträchtigung der Landesämter wegen einer Kompetenzzentralisierung beim BfV.

Zusammenfassung:

IT-Sicherheit ist eine Grundvoraussetzung für die Sicherung der Grundrechte auf informationeller Selbstbestimmung und auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Angesichts der modernen Risiken für informationstechnische Strukturen sind vorgesehene Maßnahmen wie der Ausbau des Bundesamtes für die Informationssicherheit (BSI) zu einer nationalen Zentrale für IT-Sicherheit, die Festlegung von Sicherheitsstandards, die Pflicht zur Sicherheitsvorsorge in Unternehmen, Melde- und Benachrichtigungspflichten bei sicherheitsrelevanten Vorfällen wichtige Bausteine einer nationalen Strategie für mehr IT-Sicherheit. IT-Sicherheitsmaßnahmen setzen in vielen Fällen die Verarbeitung personenbeziehbarer Daten voraus. Die damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung sowie in das Telekommunikationsgeheimnis bedürfen einer normenklaren, spezifischen, auf das Erforderliche und Verhältnismäßige sich beschränkenden gesetzlichen Grundlage, die für die Betroffenen normenklar erkennen lässt, wie welche Maßnahmen durchgeführt werden. Diesen Anforderungen genügt der vorliegende Entwurf noch nicht. Verarbeitungsregeln für die verpflichteten Unternehmen fehlen vollständig. Zweckbindungsregeln sind nur für das BSI vorgesehen. Vorgaben zur Wahrung der Datensparsamkeit, etwa durch Anonymisierung, Pseudonymisierung, frühzeitige Löschung und Abschottung, bei Maßnahmen der IT-Sicherheit sind bisher nicht geplant. Vorkehrungen für die IT-Sicherheit sollten in gleicher Weise für Telekommunikations- wie für Telemedienbetreiber gültig sein. Die Datenschutzaufsichtsbehörden müssen als auch für IT-Sicherheit zuständige Behörden bei der Festlegung von Sicherheitsstandards, bei den Meldewegen und bei der Beratung der Beteiligten rechtlich eingebunden werden. IT-Sicherheit darf nicht alleine Behörden im Direktionsbereich des Bundesministeriums des Innern überlassen bleiben, die bei einer Abwägung zwischen IT-Sicherheit und klassischer Gefahrenabwehr und Strafverfolgung sich im Zweifelsfall möglicherweise einseitig zugunsten Letzterer entscheiden. Die Bestrebungen nach mehr IT-Sicherheit können sich nicht auf die Verabschiedung eines IT-Sicherheitsgesetzes beschränken. Der tatsächliche Aufbau vertrauenswürdiger und sicherer IT-Infrastrukturen und die Förderung solcher Techniken ist Aufgabe des Staates. Dabei kommt der Weiterentwicklung und Implementierung von Verschlüsselungsverfahren eine zentrale Funktion zu.

 

In der Stellungnahme des ULD wird die Diskussion um die elektronische Gesundheitskarte und die Telematik-Infrastruktur aufgegriffen und im Grundsatz begrüßt, dass das Bundesministerium für Gesundheit mit dem E-Health-Gesetz versucht, dieses Projekt voranzubringen und eine sichere informationstechnische Infrastruktur im deutschen Gesundheitswesen zu etablieren. Die Stellungnahme kritisiert jedoch, dass sich dieser Entwurf ausschließlich auf die Regelungen im Sozialgesetzbuch V beschränkt und nicht weitere gesetzlich dringend nötige Regelungen vorsieht, damit Informationstechnik im Gesundheitswesen funktional eingesetzt werden kann und zugleich auch durch die Wahrung der Vertraulichkeit zwischen Leistungserbringer und Patienten die öffentliche Akzeptanz findet.

In dem Informationstext des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wird dargelegt, dass es zur Vermeidung von Haftungsrisiken nach dem "Mindestlohngesetz" in der Regel weder erforderlich noch zulässig ist, Beschäftigtendaten von einem beauftragten Unternehmen an den Auftraggeber zu übermitteln.

 

Die Ausarbeitung des ULD-Leiters befasst sich mit der Frage, inwieweit die Regelung zum Financial Blocking im Glücksspielstaatsvertrag zur Verhinderung illegalen Glücksspiels mit Datenschutzrecht vereinbar ist und welche Datenverarbeitungen hierzu erlaubt sind. Sie kommt zu dem Ergebnis, dass eine effektive Durchsetzung des Financial Blocking unter Beachtung des Datenschutzrechtes nicht möglich ist.

Der Beitrag des Unabhängigen Landeszentrums für Datenschutz zu einer Anhörung des Ausschusses Digitale Agenda des Deutschen Bundestags macht Vorschläge zum Datenschutz für ein eHealth-Gesetz.