11

Kernpunkte:

  • Datenübermittlung in Drittländer zu medizinischen Zwecken
  • Chatkontrolle – Risiko für digitale Infrastruktur

 

11    Europa und Internationales

11.1       Anwendungshinweise der DSK zur Datenübermittlung in Drittländer zu medizinischen Zwecken

In Zusammenarbeit mit den anderen deutschen Datenschutzaufsichtsbehörden beteiligte sich das ULD an der Erstellung von Anwendungshinweisen zu den Anforderungen an Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken. Die Forschung im medizinischen Kontext ist eine bedeutsame Thematik, insbesondere zur Erforschung von Krankheiten, der Entwicklung von Therapiemaßnahmen, zur Verbesserung von Diagnosen, Behandlungen und der Arzneimittelforschung. Eine Herausforderung besteht darin, dass zum Zweck der Medizinforschung sensible Datenkategorien, wie etwa Gesundheitsdaten, in Drittländer übermittelt werden sollen, die über kein dem europäischen Standard vergleichbares Schutzniveau verfügen.

Die Anwendungshinweise zeigen wichtige Prüfschritte auf, um im Vorfeld Fragen zur Zulässigkeit der Datenübermittlung beantworten zu können. Hierzu zählen vor allem folgende Punkte:

  • Die Prüfung erfolgt in zwei Stufen. In Stufe 1 ist zu untersuchen, ob für die Datenübermittlung eine Rechtsgrundlage besteht. In Stufe 2 sind Besonderheiten bezüglich der Übermittlungen in Drittländer zu beachten, insbesondere die Heranziehung von Angemessenheitsbeschlüssen der Europäischen Kommission, die Berücksichtigung geeigneter Garantien und ergänzende Maßnahmen zur Gewährleistung der Datensicherheit und mögliche Ausnahmetatbestände für Übermittlungen im Einzelfall.
  • In Stufe 1 kann die Einwilligung der betroffenen Person eine Rechtsgrundlage sein. In diesem Zusammenhang ist aber bereits zu untersuchen, ob der Forschungszweck unter dem Gesichtspunkt der Datenminimierung auch durch anonyme Daten erreichbar ist.
  • Hilfreich ist ein effektives Einwilligungsmanagement, bei welchem nach bestimmten Standards Einwilligungen erklärt und widerrufen werden können.
  • Vor der Erklärung einer Einwilligung müssen der betroffenen Person Informationen zu dem Forschungsvorhaben, konkrete Zwecksetzungen und Datenempfänger bekannt sein, was z. B. durch Newsletter oder über eine leicht zugängliche Datenbank erreichbar wäre.
  • Die frühzeitige Einbindung eines Datenschutzbeauftragten vor der Datenerhebung und -übermittlung sowie die vorherige Einholung des Votums einer Ethikkommission kann für die datenschutzrechtliche Beurteilung des Forschungsvorhabens hilfreich sein.
  • Es ist zu empfehlen, stets eine Datenschutz-Folgenabschätzung vorzunehmen.
  • Es kommt auch die vorherige Konsultation der zuständigen Datenschutzaufsichtsbehörde in Betracht.
  • In Stufe 2 ist die Existenz von Angemessenheitsbeschlüssen der Europäischen Kommission von Bedeutung, die bisher für 15 Länder bestehen. Gemessen am Beispiel der USA ist dabei zu prüfen, ob der Datenempfänger im Drittstaat über eine Zertifizierung nach der maßgeblichen Angemessenheitsentscheidung verfügt.
  • In Stufe 2 können im Falle eines fehlenden Angemessenheitsbeschlusses – oder im Falle der USA bei fehlender Zertifizierung des Empfängers – geeignete Garantien in Form von Standarddatenschutzklauseln oder Binding Corporate Rules nötig sein. Nach der Rechtsprechung des Europäischen Gerichtshofs bedarf es in den letztgenannten Fällen zusätzlicher Maßnahmen, insbesondere technischer und organisatorischer Natur, um im Drittstaat mögliche unbefugte Zugriffe auf die Daten durch andere Unternehmen oder öffentliche Stellen zu unterbinden.

Die Anwendungshinweise der Datenschutzkonferenz können unter folgendem Link abgerufen werden:

https://www.datenschutzkonferenz-online.de/media/oh/20250917_DSK_OH_Datenuebermittlungen.pdf[Extern]
Kurzlink: https://uldsh.de/tb44-11-1a

Die Empfehlungen für die Umsetzung von Informationspflichten bei Datenübermittlungen an Drittländer im Rahmen der wissenschaftlichen Forschung zu medizinischen Zwecken sind hier zu finden:

https://www.datenschutzkonferenz-online.de/media/oh/20250917_DSK_OH_Datenuebermittlungen_Anlage.pdf[Extern]>
Kurzlink: https://uldsh.de/tb44-11-1b

Was ist zu tun?
Wer medizinische Forschungsprojekte plant oder durchführt, sollte die aufgezeigten Prüfschritte sowie die Empfehlungen zur Gestaltung der Informationspflichten berücksichtigen.

 

11.2       Wiedergänger Chatkontrolle – Risiko für die gesamte digitale Infrastruktur

Nachdem bereits im Jahr 2022/2023 die von der Europäischen Kommission vorgeschlagene Verordnung zur sogenannten EU-Chatkontrolle in den Fokus der datenschutzrechtlichen Diskussionen getreten war und wir damals hofften, dass diese Vorschläge aufgrund der erheblichen Risiken für die Grundrechte und die Sicherheit der Infrastrukturen begraben waren, flammte die Diskussion im Jahr 2025 erneut auf. Die dänische Regierung hatte als amtierende EU-Ratspräsidentschaft die Verordnung zur Chatkontrolle auf die Tagesordnung des EU-Rats gesetzt. Ziel der Verordnung ist es, die Bekämpfung von Kindesmissbrauch und Terrorismus zu intensivieren, indem Plattformbetreiber verpflichtet werden, Kommunikation in privaten Messengerdiensten und Chats auf verdächtige Inhalte zu scannen. Betroffen wären Messengerdienste, EMail-Dienste und Cloud-Speicher. Zwar ist das Ziel legitim, doch wirft der Ansatz erhebliche datenschutz- und grundrechtliche Fragen auf.

Die geplanten Prüfpflichten würden zu einer generellen und unterschiedslosen Kontrolle

sämtlicher Nachrichten führen. Dies kollidiert mit den Artikeln 7 und 8 der EU-Grundrechtecharta sowie den zentralen datenschutzrechtlichen Prinzipien gemäß Artikel 5 DSGVO. Der EuGH hat vergleichbare Formen der Massenüberwachung (u. a. Vorratsdatenspeicherung) mehrfach als unverhältnismäßig eingestuft.

Ein zentrales Risiko der EU-Chatkontrolle liegt in der möglichen Schwächung oder Umgehung der Ende-zu-Ende-Verschlüsselung, die derzeit eine der wichtigsten Schutzmaßnahmen für die Sicherheit privater Kommunikation darstellt. Daraus resultieren diverse technische Herausforderungen. Die Einführung von Technologien, die Kommunikation auf verdächtige Inhalte hin scannen, könnte dazu führen, dass Anbieter gezwungen werden, die Verschlüsselungssysteme zu umgehen oder aufzuweichen, um den Scanprozess zu ermöglichen. Das könnte nicht nur das Vertrauen der Nutzenden in Kommunikationsdienste untergraben, sondern würde auch die Sicherheit der gesamten digitalen Infrastruktur gefährden.

Der Grundsatz der Datenminimierung sieht vor, dass Daten nur in dem Maße erhoben und verarbeitet werden, wie es für den jeweiligen Zweck notwendig ist. Die EU-Chatkontrolle könnte jedoch dazu führen, dass Kommunikationsanbieter Daten in einem viel größeren Umfang sammeln und analysieren, als es für die Bekämpfung von Kindesmissbrauch oder Terrorismus notwendig wäre.

Das Aufspüren „neuer“ Missbrauchsinhalte oder Anbahnungsversuche setzt auf KI-basierte Klassifikatoren. Diese Systeme sind fehleranfällig und wenig transparent. Falschmeldungen könnten zur Weitergabe völlig unproblematischer privater Inhalte an Behörden führen – ein erhebliches Risiko für Betroffene und ein Verstoß gegen das Gebot der Richtigkeit und Fairness der Verarbeitung.

Die Datenschutzaufsichtsbehörden sind sich durchaus dessen bewusst, dass Sicherheitsbehörden wirksame Werkzeuge und rechtliche Möglichkeiten zur Bekämpfung und Vermeidung von sexuellem Missbrauch von Kindern benötigen. Dieses Ziel darf jedoch nicht auf Kosten der Privatsphäre von Millionen von Personen verfolgt werden, die dafür keinen Anlass gegeben haben. In der technischen Umsetzung bedeutet die Chatkontrolle eine Hintertür, die den Weg in die Überwachung sämtlicher Inhalte eröffnet. Das Missbrauchspotenzial ist enorm. Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Personen und könnten auch von Kriminellen missbraucht werden.

Die Pressemitteilung der Datenschutzkonferenz „Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chatkontrolle – Private Kommunikation muss sicher und vertraulich bleiben“ ist unter den folgenden Links abrufbar:

https://www.datenschutzzentrum.de/artikel/1517-Datenschutzbeauftragte-fordern-Nein-der-Bundesregierung-zur-Chatkontrolle.html
Kurzlink: https://uldsh.de/tb44-11-2a

https://www.datenschutzkonferenz-online.de/media/pm/20251008-DSK-PM_Nein-zur-Chatkontrolle.pdf[Extern]
Kurzlink: https://uldsh.de/tb44-11-2b

Zwischenzeitlich haben sich die EU-Staaten nach langem Ringen nun darauf geeinigt, dass die Plattformbetreiber nicht verpflichtet werden, private Nachrichten automatisiert zu durchsuchen. Sie sollen aber freiwillige Kontrollen durchführen dürfen. Die EU-Kommission soll später prüfen, ob eine Verpflichtung doch nötig ist. Die Debatte um die Chatkontrolle geht also weiter.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel
```