Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber hat gestern seinen Tätigkeitsbericht für das Jahr 2022 vorgelegt. Der Bericht beleuchtet die wichtigsten Themen zum Datenschutz und zur Informationsfreiheit. Der BfDI empfiehlt der Bundesregierung unter anderem, ein Beschäftigtendatenschutzgesetz zu erlassen, die Facebook-Fanpages der Bundesregierung abzuschalten und auf eine grundrechtskonforme Überarbeitung des VO-Entwurfs zur Chatkontrolle hinzuwirken. Wir haben einen Blick auf den Tätigkeitsbericht geworfen.
Der Inhalt im Überblick
Zahlen und Fakten
Resumé für den Datenschutz im Jahr 2022. Auf 132 Seiten lässt sich die Arbeit der Behörde des vergangenen Jahres anhand der wichtigsten Themenschwerpunkte nachvollziehen. Neben inhaltlichen Einblicken beinhaltet der Bericht auch eine Statistik für das vergangene Jahr: Im Berichtsjahr wurden
- dem BfDI 10.658 Meldungen von Datenschutzverstößen zugetragen, hiervon 10.614 Meldungen nach Art. 33 DSGVO und 44 Meldungen nach § 169 TKG
- durch Bürger:innen 6.619 Beschwerden und Anfragen an den BfDI gerichtet, die sich im Großteil aus 4.434 allgemeinen Anfragen und 2.115 Beschwerden nach Art. 77 DSGVO zusammensetzen
Dies entspricht in etwa den Zahlen der Vorjahre, wobei eine leicht fallende Tendenz zu beobachten sei. Erklärt werden kann dies wohl dadurch, dass nach den vielen Anfragen und Beschwerden im Zusammenhang mit dem Start der DSGVO und den Anfragen der vergangenen Jahre rund um die Datenverarbeitung zur Pandemiebekämpfung der Bedarf an Beratung etwas abgenommen habe. Bei den eingehenden Meldungen von Datenschutzverstößen gebe es jedoch eine leichte Zunahme.
Empfehlungen des BfDI
Aufschlussreich und spannende Lektüre sind die Jahres-Empfehlungen des Bundesbeauftragten. Der BfDI empfiehlt der Bundesregierung beispielsweise
- ein Beschäftigtendatenschutzgesetz zu erlassen, in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden
- die Abschaltung der Fanpages der Bundesregierung auf Facebook
- der Bundesregierung, auf eine erhebliche, grundrechtskonforme Überarbeitung des VO-Entwurfs zur Chat-Kontrolle zu drängen und ansonsten den Verordnungsentwurf insgesamt abzulehnen
- angesichts des festgestellten geringen Nutzwertes von Antiterrordatei und Rechtsextremismusdatei, diese abzuschaffen
- die Einbindung von Videos auf den Webseiten des Bundes zu überprüfen und datenschutzkonforme Alternativen zur weit verbreiteten Praxis der Einbindung mittels YouTube umzusetzen
Erfordernis des Erlasses eines Beschäftigtendatenschutzgesetzes
Nach Ansicht des BfDI (S. 16 des Berichts) wird die aktuelle Gesetzeslage im Beschäftigtendatenschutz der Digitalisierung der Arbeitswelt nicht gerecht. Die Generalklausel des § 26 Bundesdatenschutzgesetz (BDSG) sei nicht ausreichend, um den Beschäftigten einen hinreichenden Schutz ihres Persönlichkeitsrechts zu bieten. Sie sei zu unbestimmt, lasse zu viel Interpretationsspielraum und sei nicht hinreichend praktikabel.
Auch die bestehende Unsicherheit hinsichtlich der Frage, welche Datenverarbeitungen im Beschäftigungsverhältnis rechtlich zulässig sind und welche nicht, ist dem BfDI bewusst und wird thematisiert. Grenzen der Verhaltens- und Leistungskontrolle müssten dringend gesetzlich festgehalten werden.
Weitergehende Regelungen in Form eines Beschäftigtendatenschutzgesetzes seien notwendig und überfällig, da ansonsten Praktiken möglich blieben, die das Schutzbedürfnis von Beschäftigten verletzten. Ein aktuelles Beispiel für solche Praktiken ist zum Beispiel die Mitarbeiterüberwachung in einem Logistikzentrum von Amazon, die vom zuständigen Gericht für zulässig erklärt wurde. Das Gericht sah sich hier in der schwierigen Lage, lediglich anhand des § 26 BDSG über die Mitarbeiterüberwachung entscheiden zu müssen.
Abschaltung der Fanpages der Bundesregierung auf Facebook
Digitale Medien und Angebote sind aus unserem Alltag längst nicht mehr wegzudenken. Entscheidend ist nach Auffassung des BfDI, dass digitale Angebote mit der DSGVO konform gehen. Vor allem Behörden, die Vorbilder in ihrem Verhalten sein sollen, befänden sich hier in einer besonderen Position.
Da verwundert es nicht, dass der BfDI im Tätigkeitsbericht erneut ausdrücklich betont, dass eine datenschutzkonforme Nutzung von Facebook-Fanpages nicht möglich sei und die nachdrückliche Empfehlung ausspricht, die Fanpages abzuschalten. Vorangegangen war dem bereits ein durch den BfDI ausgesprochenes Verbot des Betriebes der Facebook-Fanpage, worüber wir kürzlich berichteten.
Erfordernis der Überarbeitung des VO-Entwurfs zur Chat-Kontrolle
Ein ganzes Unterkapitel des Berichts (S. 45 f.) befasst sich mit der EU-CSAM-Verordnung, besser bekannt als Chat-Kontrolle. Dahinter verbirgt sich der Plan des europäischen Gesetzgebers, Anbietende von Kommunikationsplattformen zum Auffinden von Materialien des sexuellen Online-Kindesmissbrauchs zu verpflichten. Ein aus datenschutzrechtlicher Sicht höchst problematisches Vorhaben, denn sämtliche private Kommunikation und Dateien sollen durchleuchtet werden.
Durch das Scannen von Nachrichten sollen Annäherungsversuche von Erwachsenen gegenüber Kindern in sexueller Missbrauchsabsicht aufgedeckt werden. Neben dem Auslesen von Textnachrichten sieht der Entwurf auch das Abhören von Audiokommunikation vor. Nach Ansicht des BfDI schieße der europäische Gesetzgeber hier deutlich über das Ziel, die Online-Verbreitung des sexuellen Kindesmissbrauchs zu stoppen, hinaus. Die Chat-Kontrolle biete
„kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation.“
Der Verordnungsentwurf respektiere außerdem nach Auffassung des BfDI
„weder die Vorgaben zur Verhältnismäßigkeit noch die Grundrechte, die deutschen Bürgerinnen und Bürgern nach der EU-Grundrechte-Charta und nach dem Grundgesetz zustehen.“
Sollte die EU-CSAM-Verordnung in ihrer jetzigen Form umgesetzt werden, drohe die Durchbrechung der Ende-zu-Ende-Verschlüsselung. Von dem geplanten Scannen seien keine Ausnahmen vorgesehen, auch nicht für Berufsgeheimnisträger. Damit könnte auch die vertrauliche Kommunikation zwischen Anwält:innen und ihren Mandant:innen oder zwischen Ärzt:innen und ihren Patient:innen erfasst werden.
Der BfDI will sich für eine deutliche Nachbesserung der Verordnung einsetzen und verspricht, sich für den Fall, dass der EU-Gesetzgeber den Verordnungsentwurf nicht nachbessere, dafür einzusetzen, dass die Verordnung in ihrer aktuellen Form nicht verabschiedet werde.
Datenschutz verständlich gemacht
Wer heute noch nach Lektüre im Datenschutz sucht, dem sei die Beschäftigung mit dem Tätigkeitsbericht ans Herz gelegt. Übersichtlich und auch für Fachfremde verständlich geschrieben, bietet der Bericht einen Überblick über aktuelle interessante und praxisrelevante Themen aus der Welt des Datenschutzes und der Informationssicherheit.