Jahresbericht des DatenschutzbeauftragtenAuch ohne Pandemie wäre genug zu tun

Lob für die Corona-Warn-App, Kritik an den Änderungen des Infektionsschutzgesetzes: Der Bundesdatenschutzbeauftragte stellt seinen Jahresbericht vor. Die Corona-Pandemie dominiert alles, aber auch Brexit und Bundesnachrichtendienst beschäftigten Ulrich Kelber.

Maske, Handy mit Corona-Warn-App und Brille liegen auf einem Tisch
Die Corona-Warn-App allein wird uns nicht retten. Aber sie bekommt ein gutes Datenschutzzeugnis. Vereinfachte Pixabay Lizenz magica

Ob Corona-Warn-App, wiederholte Änderungen am Infektionsschutzgesetz oder Kontaktnachverfolgung: Die Corona-Pandemie beschäftigte auch die Behörde des Bundesdatenschutzbeauftragten Ulrich Kelber. In seinem heute vorgestellten Tätigkeitsbericht wird deutlich, dass bei der Pandemiebekämpfung viele Datenschutzfragen aufkamen. Nicht bei allen konnte sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) durchsetzen.

Holprig lief es offenbar bei den wiederholten Änderungen des Infektionsschutzgesetzes.

Vier Stunden Zeit für eine Stellungnahme

Bei der ersten Änderung bekam der BfDI das Gesetz laut Tätigkeitsbericht mit einer Stellungnahmefrist von lediglich vier Stunden vorgelegt. Die ursprünglich geplante Handydaten-Auswertung Infizierter stand am Ende nicht mehr im Entwurf stand, doch das Gesetz enthielt etwa Passagen zur Datenverarbeitung durch Beförderungsunternehmen. Gesundheitsämter haben die Möglichkeit bekommen, Fluggastdaten beim BKA anzufragen. Das verstoße gegen die EU-Richtlinie zur Fluggastdatenspeicherung, so der BfDI. Und auch sonst hat er wenig gute Worte für den Auftakt der Infektionsschutzgesetz-Änderungen aus dem Haus von Gesundheitsminister Jens Spahn übrig:

Ich habe erhebliche Zweifel an der Verfassungsmäßigkeit geltend gemacht, insbesondere hinsichtlich der Geeignetheit einiger Maßnahmen. Auch während einer Pandemie sind Grundrechte nicht außer Kraft gesetzt. Leider wurden meine Bedenken überwiegend nicht berücksichtigt.

Bei der zweiten Änderungsrunde blieben den Datenschützer:innen immerhin zwei Tage Zeit und einige kritische Punkte flogen am Ende wieder aus dem Gesetzentwurf – darunter Vorgaben für einen Immunitätspass. Neben den Datenschutzproblemen gab es im April 2020 noch viel zu wenig gesicherte wissenschaftliche Erkenntnisse zur Immunität gegen eine Covid-19-Erkrankung, als dass solch ein Vorhaben überhaupt sinnvoll gewesen wäre.

Im Oktober stand eine weitere Überarbeitung des Infektionsschutzgesetzes an. Sowohl Datenübermittlung zu Impfungen als auch digitale Anmeldungen bei der Einreise aus Risikogebieten waren geplant. Erneut beschwert der BfDI sich über zu kurze Fristen. Eine veränderte Fassung habe er mit Stellungnahmefrist bis zum Abend des gleichen Tages erhalten. Woher die Eile kommt, kann er nicht nachvollziehen: „Diese extrem kurzen Fristen erschwerten die sachgerechte Bearbeitung. Da die Pandemie-Lage zu diesem Zeitpunkt bereits seit mehreren Monaten bestand, war diese Eile aus meiner Sicht nicht angemessen“, heißt es im Bericht.

Positiv-Beispiel Corona-Warn-App

Bessere Erfahrungen machte Kelber offenbar bei der Corona-Warn-App. Nachdem sich anfangs ein zentrales Datenhaltungsmodell androhte, setzte sich doch die dezentrale Lösung durch. „Der Datenschutz ist ein wesentlicher Faktor für die Akzeptanz bei solchen digitalen Lösungen“, schreibt der Bundesdatenschutzbeauftragte. Die zentrale Lösung aus Frankreich, die nur zwei Millionen Downloads habe, sieht Kelber als gescheitert und als Bestätigung für die deutsche Variante mit immerhin 25 Millionen Installationen.

Nachholbedarf gebe es jedoch bei dem „problembeladene[n], aber für deren praktischen Einsatz unabdingbare[n] Betriebsumfeld“. So seien immer noch nicht alle Labore an die App angeschlossen, Nutzer:innen müssen sich teils noch umständlich sogenannte Tele-TANs nutzen, um bei positivem Ergebnis ihre Kontakte warnen zu können.

Über die Vorwürfe, der Datenschutz würde die Weiterentwicklung der Corona-Warn-App und die Pandemie-Bekämpfung erschweren, ärgert sich Kelber merklich. „Fakt ist, dass bislang keine der in die Diskussion eingebrachten, geeigneten und technisch umsetzbaren Vorschläge am Datenschutz gescheitert ist“, schreibt er und wünscht sich eine „differenziertere und vor allem informiertere Debatte, die die sinnvolle und effektive Weiterentwicklung unterstützt“.

Der Rest bleibt nicht stehen

Neben der Pandemie gab es noch viele weitere Aufgaben für die Datenschutzaufsicht. „Während uns Corona täglich neue Herausforderungen beschert, bleibt der Rest der Welt aber nicht stehen“, so Kelber. Selbst ohne Pandemie habe seine Behörde alle Hände voll zu tun. Beispiele dafür sind die Neuordnung der Aufsicht über den BND, die Digitalisierung des Gesundheitswesens oder der Brexit, durch den der Datenaustausch mit Großbritannien neu geklärt werden muss.

Außerdem gehört die Informationsfreiheit zu Kelbers Themen, in seinem Bericht fasst er beide Tätigkeitsberichte zusammen. Er fordert erneut, das Informationsfreiheitsgesetz in Richtung eines Transparenzgesetzes weiterzuentwickeln, das öffentliche Stellen zu mehr proaktiver Veröffentlichung verpflichtet.

Für seinen nächsten Tätigkeitsbericht wünscht sich Kelber, dass „die Liste der positiven Beispiele, gerade auch bei großen Themenkomplexen, länger wird“ und „dass wir uns mit Corona nur noch in der Rückschau beschäftigen“. Eine verständliche Hoffnung, doch noch sieht es nicht danach aus.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

Eine Ergänzung

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.