Oberster Datenschützer fordert Moratorium für Sicherheitsgesetze
In seinem aktuellen Tätigkeitsbericht fordert der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, ein Überwachungsmoratorium und einen besonderen Fokus auf den Datenschutz bei so sensiblen Themen wie Gesundheitsdaten. Kelber hatte den Bericht am 17. Juni 2020 an den Präsidenten des Bundestages, Wolfgang Schäuble, überreicht.
“Wie schon in den letzten Jahren wurden auch in diesem Berichtszeitraum erneut viele Gesetze auf den Weg gebracht, die den Sicherheitsbehörden weitergehende Eingriffsbefugnisse einräumen. Dieser Trend wird allerdings nicht von einer parallelen Evaluierung der bereits bestehenden Kompetenzen der Behörden begleitet”, kritisiert der Jahresbericht. Dabei bedeuteten gerade Gesetze in diesem Bereich in der Regel einen Eingriff in die Rechte von Bürgerinnen und Bürgern, so Kelber. Er empfiehlt daher, ein Moratorium für Sicherheitsgesetze auszusprechen. So solle überprüft werden, welche aktuellen Befugnisse die Sicherheitsbehörden überhaupt benötigen, bevor sie neue Kompetenzen zugesprochen bekommen.
Moratorium soll Vertrauen in Behörden stärken
Kelber ist überzeugt, dass eine solche Überprüfung auch das Vertrauen der Bevölkerung stärken würde. Denn damit könne man zeigen, dass der Gesetzgeber “Eingriffsmöglichkeiten in ihre Grundrechte so weit wie nötig aber gleichzeitig auch so restriktiv wie möglich” gestaltet.
Der Bundesdatenschutzbeauftragte mahnt den Gesetzgeber gleichzeitig, sich bei großen Projekten Zeit für eine intensive datenschutzrechtliche Beratung zu nehmen. Besonders wenn diese Projekte einen “enormen Einfluss auf unsere Gesellschaft” haben. “Die Digitalisierung im Gesundheitswesen beispielsweise kann nur mit einem hohen Datenschutz- und Datensicherheitsniveau gelingen, denn sie ist auf die Verarbeitung zahlreicher sensibler Gesundheitsdaten ausgerichtet”, so Kelber. Es müsse sichergestellt werden, dass “digitalisierte Gesundheitsdaten nicht durch private oder staatliche Stellen missbraucht werden”.
Besonderer Schutz für Patientendaten
Die Mahnung kommt wohl nicht von ungefähr: Insgesamt 23 Gesetzentwürfe “mit zum Teil gravierenden datenschutzrechtlichen Herausforderungen” habe man aus dem Gesundheitsministerium erhalten. So gebe es noch immer Probleme mit der elektronischen Patientenakte, während das Gesundheitsministerium versuche, die Technik möglichst schnell und flächendeckend einzuführen. Dabei werde auf “lange bekannte und grundlegende Datenschutzregelungen” verzichtet – mit “fatalen Folgen für die Patientinnen und Patienten.” Der Chaos Computer Club hatte zuletzt ebenfalls mehr Sicherheit für Patientendaten gefordert und Sicherheitsprobleme bei den bestehenden Verfahren aufgedeckt.
Insgesamt zieht Kelber anlässlich des Berichtes eine positive Bilanz der DSGVO. Die wesentlichen Ziele der Verordnung seien erreicht worden. So gebe es bei Unternehmen, Behörden und Bürgern ein gesteigertes Bewusstsein für den Datenschutz. Die Aufsichtsbehörden hätten wirksamere Sanktionsmöglichkeiten erhalten und setzten diese auch ein.
Zusammenarbeit in Europa funktioniert noch nicht
Gerade gegenüber großen, internationalen Technikunternehmen aber ließen sich die Datenschutzbestimmungen noch schwer durchsetzen. Das liegt laut Kelber daran, dass die Zusammenarbeit zwischen den europäischen Aufsichtsbehörden noch nicht funktioniert. Für viele der internationalen IT-Unternehmen sind die Behörden in Irland und Luxemburg zuständig, da sich hier die europäischen Zentralen der Firmen befinden. In den letzten 20 Monaten haben diese Behörden aber keines ihrer Verfahren abgeschlossen. “Das ist für mich nur schwer verständlich und mehr als ärgerlich”, schreibt Kelber dazu.
Bisher wurden nur zweimal Strafen wegen DSGVO-Verstößen gegen große Technikkonzerne verhängt: Die französische Datenschutzbehörde hatte Google mit einem Bußgeld von 50 Millionen Euro belegt, unter anderem weil die Informationen zur Verwendung und Speicherdauer der erhobenen Daten nicht einfach genug zugänglich waren.
Der Hamburger Datenschutzbeauftragte verhängte zudem eine Strafe in Höhe von 51.000 Euro gegen die deutsche Facebook-Vertretung, weil diese nicht über den Wechsel ihres Datenschutzbeauftragten informiert hatte.
Die DSGVO sieht vor, dass sie nach zwei Jahren erneut durch die Europäische Kommission bewertet wird. Die DSGVO ist am 25. Mai 2020 zwei Jahre alt geworden. Doch für tiefgreifende Änderungen ist es noch zu früh, meint Kelber. (js)