Der Bundesdatenschutzbeauftragte teilt aus – zu Recht!

All die Jahre wieder, kommt … der Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Auch diesmal hält sich Herr Kelber dankenswerterweise nicht zurück: Der Bericht liefert sachliche Infos, garniert mit nett formuliertem Ärger, seltenem Lob und einer Prise Humor. Das 138 Seiten umfassende Dokument liest sich zwar nicht wie ein Krimi. Ein Blick hinein lohnt aber dennoch. Ein Kommentar.

Herr Kelber informiert

Wer hat an der Uhr gedreht? Gestern erschien bereits der 30. Tätigkeitsbericht des Bundesdatenschutzbeauftragten (BfDI), diesmal für das Jahr 2021. Die Zeit vergeht wie im Flug. Das mag daran liegen, dass ich auf meine „alten Tage“ immer vergesslicher werde (seit kurzem trennt mich ein Jahr weniger von der Rente) oder die Corona-Dauer-Litanei fordert ihren Tribut. Mir kommt es jedenfalls so vor, als hätte ich den 29. Bericht gerade noch in den Händen gehabt.

2021 hatte der Bundesdatenschutzbeauftragte einiges zu tun: 107 Kontrollen, 82 davon pandemiebedingt schriftlich, 10.157 Meldungen von Datenschutzverstößen, 6.829 Beschwerden und Anfragen sowie die telefonische Beratung von 7.124 Personen. Die gemäß § 21 der Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) erforderliche frühzeitige Beteiligung des BfDI bei der Erstellung von für seinen Geschäftsbereich relevanten Gesetzesvorlagen erfolgte 328-mal, nach eigener Aussage „nicht immer reibungslos“. Das überrascht mich nun wirklich nicht.

Nun gut, schauen wir uns doch mal an, was der oberste Datenschützer dieses Landes, Herr Ulrich Kelber, sonst so zu berichten hat:

Die guten Nachrichten zuerst …

Es gibt tatsächlich ein Bundesministerium, das sich an § 21 GGO hält und den BfDI frühzeitig einbindet! Lobend hebt Herr Kelber die erfolgreiche Kooperation mit dem Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit (BMU) im Rahmen der Beratungen im Gesetzgebungsverfahren der Dritten Verordnung zur Änderung der Strahlenschutzverordnung hervor. Dadurch sei die Beratung konstruktiv erfolgt, seine Anregungen seien aufgegriffen und Änderungswünsche seien zudem vereinbarungsgemäß umgesetzt worden. Besonders gefällt mir das Fazit:

„Ich wünsche mir weiterhin eine solch vertrauensvolle und erfolgreiche Zusammenarbeit – ausdrücklich auch mit anderen Bundesministerien und Bundesbehörden!“

Seit der Flutkatastrophe im letzten Jahr ist klar: Wir brauchen eine Art der Katastrophenwarnung, die funktioniert (in diesem Zusammenhang erinnere ich an die Blamage mit dem Sirenen-Warntag 2020). Der BfDI kritisiert, dass die Bundesregierung bisher auf datenverarbeitende Warn-Apps gesetzt habe, obwohl ein Teil der Bevölkerung keine Smartphones nutze. Nun sei jedoch geplant, endlich auf die datenschutzfreundliche Technologie namens Cell Broadcast umzusteigen, bei welcher keine Daten erhoben werden. Angesichts der Tatsache, dass Cell Broadcasting im Ausland schon längst eingesetzt wird, ist es beschämend, dass es hierzulande zum Umdenken erst eines Unglücks bedurfte. Aber im Land des Faxes wundert mich gar nichts mehr.

Erfreulich ist, dass die Datenschutz-Pixi-Bücher des BfDI weggehen wie heiße Semmeln: In weniger als einer Woche wurden davon mehr als 9.000 Stück bestellt. Bei einem Grund- und Gesamtschulbesuch stieß Herr Kelber auf interessierte und Datensammel-kritische Kinder – ein Indiz dafür, dass Kinder schlauer sind, als man denkt und Politiker … nicht.

… doch die schlechten Nachrichten überwiegen

Der Bericht ist selbstverständlich voll von Kritik – und so soll es auch sein. Lobhudelei braucht kein Mensch und nützt weder Herrn Kelber noch dem Datenschutz. Weniger rosarote Brille, mehr Rotstift, das gilt auch beim Bundesdatenschutzbeauftragten.

Corona und Datenschutz hat nicht geklappt

In einem Rundumschlag kritisiert der BfDI die Corona-Maßnahmen-Gesetzgebung aus dem Jahr 2021. Im Großen und Ganzen führt er an, dass der Sensibilität der Gesundheitsdaten bei den verschiedenen Regelungen nicht ausreichend Rechnung getragen worden wäre. Während die Kritik im Hinblick auf die Corona Warn-App noch verhalten daher kommt (klar, weil die App im Wesentlichen okay ist) und sich nur auf die trotz seiner Stellungnahmen weiterhin bestehende Abhängigkeit von Apple und Google bezieht, teilt der Bundesdatenschutzbeauftragte bei den anderen Gesetzen aus, beispielsweise hier:

Der Coronamelde-Verordnung wirft er vor, ein Weniger an Daten hätte zu einer schnelleren Verarbeitung geführt. Hintergrund? Zur Ermittlung der Hospitalisierungsinzidenz verdonnert die Verordnung Krankenhäuser dazu, Patienten mit Corona namentlich zu melden. Das geht dann ans Gesundheitsamt, von dort an die Landesbehörde, dann an das RKI. Wieso es nicht reicht, anonyme Zahlen zu liefern und zwar direkt an das RKI, weiß kein Mensch. Bestimmt nicht einmal Herr Lauterbach – und der gibt zu allem seinen Senf ab.

Die Impfverordnung führte darüber hinaus zu Chaos bei Meldung der Impfungen: Die Meldungen liefen teils aggregiert direkt an das RKI, zum Teil aber auch personenbezogen an die Kassenärztliche Vereinigung, in anderen Fällen über das elektronische Meldesystem der Kassenärztlichen Bundesvereinigung oder unter Verwendung des Deutschen Elektronischen Melde- und Informationssystems (DEMIS). Wäre es da nicht besser gewesen, anonym die Zahl der Impfungen zu übermitteln und zwar an eine zentrale Stelle? Dass wir nicht einmal die Impfquote genau beziffern können, ist doch lächerlich.

Die COVID-19-Schutzmaßnahmen-Ausnahmenverordnung bewirkte, dass private Stellen wie Hoteliers, Restaurantinhaber oder Vereine zu Kontrolleuren von 3G-Nachweisen wurden. Der BfDI bemängelt hier das Fehlen von Regelungen, wie für Vertraulichkeit durch die Kontrollierenden zu sorgen ist. Kein Wunder, der Gesetzgeber schien es ja noch nicht einmal im Blick zu haben, dass er es mit Gesundheitsdaten zu tun hat, die einem besonderen Schutz unterliegen.

So viel zur frühzeitigen Einbindung

Der BfDI spricht bereits am Anfang des Dokuments Klartext:

„Wie schon 2020 legte die Bundesregierung dabei Gesetzentwürfe und Verordnungen zur Pandemie-Bekämpfung im Akkord vor, und wie im Vorjahr gab es selten Zeit, diese Entwürfe sachgerecht zu prüfen und die Bundesregierung zu beraten. Bei allem Verständnis für die zum Teil gebotene Eile hätten ein wenig mehr Sorgfalt und eine Einbindung von Beginn an – wie eigentlich vorgeschrieben – der Sache sicher gut getan.

Meine stetigen Hinweise, dass es für solche Maßnahmengesetzliche Grundlagen braucht, würde ich mir gerne ersparen, wenn denn entsprechend gehandelt würde. Stattdessen werden Lösungsvorschläge – auch solche, die bei richtiger Ausgestaltung datenschutzrechtlich möglich wären – oft gar nicht erst vorgelegt oder besprochen. Vielmehr wird öffentlich lamentiert, „der Datenschutz“ würde im Weg stehen. Entgegen dieser immer wieder vorgebrachten Kritik hat der Datenschutz und damit auch meine Behörde aber keine einzige geeignete Pandemiebekämpfungsmaßnahme der Bundesregierung beschränkt oder gar gestoppt. So müßig es mittlerweile geworden ist, werde ich auch in Zukunft nicht müde werden, dies richtigzustellen und mich Schwarzer-Peter-Spielen entgegenstellen, die nur den Blick auf die notwendigen Maßnahmen behindern.“

Danke Herr Kelber für diese deutlichen Worte. Der Datenschutz als Sündenbock – Es wird versucht, dieses Narrativ um jeden Preis aufrechtzuerhalten. Liebe Politiker, handelt datenschutzkonform oder lasst es bleiben, aber dieses ständige Schuldzuweisen bewegt sich auf Kindergartenniveau.

Außerdem erwähnenswert

Völlig zu Recht lehnt der BfDI die aktuelle Ausgestaltung des Zugriffsmanagements bei der elektronischen Patientenakte weiterhin ab: Nur wer Smartphone oder Tablet besitzt, kann dokumentenspezifisch Zugriffsrechte erteilen. Alle anderen müssen entweder zum Leistungserbringer (z.B. der Arztpraxis) rennen und dort die Zugriffsrechte auf Dokumentenkategorien beschränken oder jemanden mit Handy bitten, die Änderungen vorzunehmen. Dass derjenige dann Einblicke in die sensibelsten Gesundheitsdaten erhält – egal! Die vom BfDI im November 2020 gegenüber den seiner Aufsicht unterliegenden gesetzlichen Krankenkassen ausgesprochene Warnung führte nicht zu Ergebnissen. Die daraufhin im September 2021 erfolgte Anweisung gemäß Art. 58 Abs. 2 lit. d DSGVO resultierte in – Sie ahnen es – noch laufenden Klagen der adressierten Krankenkassen.

Erstaunlich auch folgende Info: Es gibt hierzulande Unternehmen, die Probenmaterial aus Pränataltests aus Kostengründen nach Hongkong schicken. Das chinesische Labor verwendet die Proben dann auch für eigene Forschungsprojekte, unter Umständen sogar in Zusammenarbeit mit dem chinesischen Militär. Was zum Teufel? Jedenfalls ist der Hessische Datenschutzbeauftragte da zurzeit dran.

Am Ende noch ein kurzer Schlenker in die Informationsfreiheit: Der BfDI hat es förmlich beanstandet, dass das Bundesministerium für Verkehr und digitale Infrastruktur die Herausgabe der E-Mail-Kommunikation zwischen Herrn Scheuer und dem Leiter für Strategisches Medienmanagement zur Maut-Affäre (mit meiner Meinung nach fadenscheiniger Begründung) verweigert hat. Gut so, Herr Kelber! Legen Sie da weiter den Finger in die Wunde. Während Bürgerinnen und Bürger immer mehr Daten „spenden“ sollen, ist man hoch oben in den Ämtern katholischer als der Papst und pocht auf Vertraulichkeit, die man der eigenen Bevölkerung nicht zugesteht.

Lesen bildet – vielleicht auch Politiker?

Im Bericht steht natürlich noch so viel mehr, was ich hier alles gar nicht wiedergeben kann. Ein Drüberlesen lohnt sich, ich meine, das Ding erscheint einmal im Jahr, das schafft man zeitlich und sollte man sich gönnen. Für Erheiterung sorgen die Comics von erzaehlmirnix, die in den Bericht eingefügt wurden. Ein Behördendokument mit Comics? Wieso denn nicht, sage ich. Die Anti-Datenschutz-Vorhaben der Politik und der BigTech-Unternehmen lesen sich ja auch oft wie ein Witz. Nur sind die bitterer Ernst.

—
Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wider. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.