Jahresbericht zum DatenschutzVon Corona, Cookies und Beschäftigtendatenschutz

In seinem Tätigkeitsbericht zieht der Bundesdatenschutzbeauftragte Ulrich Kelber Bilanz über das letzte Jahr. Die fällt durchwachsen aus: Nur wenige seiner Empfehlungen aus dem Vorjahr wurden umgesetzt, dafür gibt es aber Hoffnung auf ein dringend notwendiges Beschäftigtendatenschutzgesetz.

Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, bei der heutigen Vorstellung des Tätigkeitsberichts. – Alle Rechte vorbehalten IMAGO / Metodi Popow

Das zweite Pandemiejahr hat Spuren bei Ulrich Kelber hinterlassen. Den heute veröffentlichten Tätigkeitsbericht des Bundesdatenschutzbeauftragten (BfDI) dominieren Gesundheitsthemen, von der Corona-Warn-App über die Pandemie-Software Sormas bis hin zur Elektronischen Patientenakte.

„Das heißt aber nicht, dass die restliche Welt sich nicht weiter bewegt hätte“, sagt Kelber in einer Pressemitteilung. Im Gegenteil: „Die alte Bundesregierung hat zum Ende der Legislaturperiode noch eine ganze Reihe an umfangreichen Gesetzen vorgelegt, zum Beispiel das IT-Sicherheitsgesetz oder die neuen Telekommunikationsgesetze TKG und TTDSG.“

Und das oft in letzter Minute: Nach über zehn Jahren Untätigkeit hat etwa die vergangene Große Koalition, erst kurz vor der Sommerpause und der späteren Bundestagswahl, EU-Vorgaben der E-Privacy-Richtlinie in deutsches Recht übersetzt. Auch andere Gesetzesentwürfe und Verordnungen seien „im Akkord“ vorgelegt worden, heißt es im Bericht. „Wie im Vorjahr gab es selten Zeit, diese Entwürfe sachgerecht zu prüfen und die Bundesregierung zu beraten.“

Wenige umgesetzte Empfehlungen

Ernüchternd fällt auch die Bilanz der Umsetzung vorheriger Empfehlungen aus. Lediglich ein aus dem Vorjahr stammender, relativ bescheidener Vorschlag zur Wahl einer stellvertretenden Person für die Vertretung im Europäischen Datenschutzausschuss bekam von Kelber einen grünen Punkt für die Umsetzung. Die Evaluierung eilig auf den Weg gebrachter Maßnahmen rund um die Corona-Pandemie gab es nicht. Und auch eine sichere Übermittlung digitaler Gesundheitsanwendungen über die Telematikinfrastruktur hat die letzte Bundesregierung nicht berücksichtigt.

Dennoch gab es einige Erfolge zu verzeichnen. So sei die Corona-Warn-App (CWA) aus Sicht des BfDI im internationalen Vergleich und national zu einer erfolgreichen Referenz bei der Bekämpfung der Pandemie mit Smartphone-Apps geworden – obschon eine vorgeschlagene Evaluierung „Unzulänglichkeiten und Verbesserungsmöglichkeiten“ aufdecken könnte. Erfreulich sei auch, dass die Bundesregierung die Forderung des BfDI zu Cookies umgesetzt hat.

Neues Datenschutzgesetz

Zurückzuführen ist das auf EU-Vorgaben aus dem sogenannten Kodex für die elektronische Kommunikation. Dieser hatte eine weitflächige Umarbeitung des Telekommunikationsgesetzes (TKG) und teils des Telemediengesetzes (TMG) notwendig gemacht. Datenvorschriften flossen dabei aus dem TKG ins neu geschaffene Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), ergänzt um bisherige Regelungen zu Telemedien aus dem TMG.

Unter anderem wurde dabei der Begriff des Telekommunikationsdienstes deutlich erweitert, er erfasst nun beispielsweise Messenger-Dienste, E-Mail-Dienste und Videokonferenzdienste. Zugleich ist seitdem der BfDI auf nationaler Ebene sowohl für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) als auch bei der Verletzung des Schutzes von Verkehrsdaten zuständig.

Ein umkämpfter Punkt bei der Novellierung waren Cookies und die Frage, ob eine ausdrückliche Einwilligung notwendig ist, um damit im Netz zu tracken. Eigentlich ist dies seit 2009 EU-weit geregelt. „Endlich richtlinienkonform“, wie es im Bericht heißt, ist es aber erst jetzt. Ob die im Gesetz nun verankerten Personal Information Management Systeme (PIMS) die Cookie-Flut bändigen werden, bleibt vorerst unklar: Die Details müssen noch in einer Rechtsverordnung festgelegt werden.

Kelber fordert Beschäftigtendatenschutzgesetz

Ins Pflichtenheft schreibt Kelber der neuen Regierung unter anderem, endlich ein „dringend notwendiges“ Beschäftigtendatenschutzgesetz vorzulegen. Diese Forderung steht schon lange Zeit im Raum, die Ampelregierung hat sich nun auch im Koalitionsvertrag darauf geeinigt. Die rasant fortschreitende Digitalisierung in Betrieben und Verwaltungen lasse den Bedarf nach einer gesetzlichen Regelung immer dringender werden, heißt es im Bericht. Orientieren könne sich die Regierung etwa an dem Bericht eines interdisziplinären Beirats, dem Kelber angehört und der Anfang des Jahres Empfehlungen ausgesprochen hatte.

Regelungslücken bestünden etwa im Bereich der Künstlichen Intelligenz in Bewerbungsverfahren, beim Beschäftigtenscreening oder beim GPS-Tracking von Mitarbeitenden. Ein neues Gesetz müsse spezifische Datenverarbeitungen im Beschäftigtenkontext und Eckpunkte im Beschäftigungsverhältnis regeln. Dazu gehören etwa ein Verbot der Totalüberwachung, Grenzen einer Verhaltens- und Leistungskontrolle, Hinweise zu Beweisverwertungsverboten sowie der Einsatz neuer Technologien, insbesondere algorithmische Systeme.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

5 Ergänzungen

  1. Gerade beim Beschäftigtendatenschutz gibt es echt große Missstände. Ich arbeite in der IT-Brache und erlebe es in erschreckender Regelmäßigkeit, wie die Arbeitgeber ihre Mitarbeiter überwachen, tracken und mit deren Daten komplett verantwortungslos umgegen. Teilweise wird dabei jetzt schon gegen das BDSG und die DSGVO verstoßen, teilweise ist es den Verantwortlichen egal, weil Strafen in dem Bereich höchst selten und oft sehr niedrig sind ( Zitat: „Ach da bekommen wir erstmal eh nur ’ne Verwarnung und haben dann ein paar Monate Zeit um das anzupassen…). Die Mitarbeiter kennen selten ihre Rechte und selbst wenn gibt es genug Mittel und Wege um unbequeme Mitarbeiter loszuwerden oder hintenrum zu bestrafen. Und da die Whistleblower Richtlinie in D immer noch nicht umgesetzt wurde, braucht man über anonyme Hinweise auch nicht ernsthaft nachzudenken.

    1. >> Und da die Whistleblower Richtlinie in D immer noch nicht umgesetzt wurde, braucht man über anonyme Hinweise auch nicht ernsthaft nachzudenken. <<

      Heads-up:

      Deutschland hätte eigentlich schon längst eine EU-Richtlinie zum besseren Schutz der Hinweisgeber umsetzen müssen. Buschmanns Vorgängerin Christine Lambrecht (SPD) hatte deshalb bereits im Dezember 2020 einen Entwurf für ein entsprechendes Gesetz vorgelegt. Doch wegen Differenzen in der damaligen großen Koalition versandete das Projekt. Buschmann macht jetzt einen zweiten Anlauf. Sein Entwurf sei bereits mit dem Arbeitsministerium von Hubertus Heil (SPD) vorbesprochen, heißt es.

      https://www.sueddeutsche.de/politik/whistleblower-schutz-buschmann-1.5561573

  2. Danke für die Kurzübersicht über den Bericht :)
    Kleiner Hinweis: Im Absatz „Neues Datenschtzgesetz“ fehlt beim Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) das Wort „Telekommunikation-„

  3. Ich gestehe, bei der Cookiegesetzgebung nicht aufgepasst zu haben.

    Wenn ich bei einer Webseite „Alles akzeptieren“ wähle, kann eine völlig andere Seite dann die Drittseitencookies verwenden und alterieren [A) später, ohne mein Einverständnis erneut einzuholen / B) obwohl ich dort bereits vorher „Alles Ablehnen“ gewählt habe]?

    Der Kontext ist die Frage, ob wir einen besseren Cookiestandard brauchen, in dem auch für Drittseitencookies spezifiziert UND DEM BROWSER GEGENÜBER TRANSPARENT ist, für welche Seite sie gesetzt wurden.

    (In der Praxis vermeide ich mehrere Seiten in einer Sitzung.)

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.