11. Mai 2021
Nachdem das OVG Lüneburg bereits im vergangenen Jahr entschied, dass die Übermittlung personenbezogener Daten per Telefax rechtswidrig war, hat die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen diese Erkenntnis in eine Orientierungs- und Handlungshilfe fließen lassen.
Dort schreibt sie, dass durch technische Weiterentwicklungen das Schutzniveau gelitten habe. Früher seien Faxe über exklusive Ende-zu-Ende-Telefonleitungen verschlüsselt versandt worden. Heute werden die Daten jedoch paketweise in Netzen transportiert, die auf der Internet-Technologie beruhen. Außerdem existiert häufig an der Empfangsstelle kein echtes Fax-Gerät mehr. Faxe würden immer häufiger automatisch in E-Mails umgewandelt und an bestimmte Postfächer weitergeleitet.
Daraus folgt, dass das Schutzniveau dem einer unverschlüsselten E-Mail gleichkommt. Hierfür wird gern das Bild einer offen einsehbaren Postkarte zum anschaulichen Vergleich herangezogen. Faxe eignen sich daher regelmäßig nicht für den Versand personenbezogener Daten, da sie keine Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit personenbezogener Daten haben. Besser geeignete Versandwege sind Ende-zu-Ende verschlüsselte E-Mails oder die traditionelle Post.
7. Mai 2021
Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.
Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.
Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.
Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.
Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.
5. Mai 2021
Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.
Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.
Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.
Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.
Das Bundesarbeitsgericht musste sich mit der Frage befassen, ob das Amt des Vorsitzenden eines Betriebsrats in Personalunion mit dem Amt des Datenschutzbeauftragten ausgeübt werden darf. Dafür soll nun per Vorabentscheidungsersuchen geklärt werden, ob die hohen Anforderungen, die das deutsche Recht an die Abberufung eines betrieblichen Datenschützers stellt, mit der europäischen Datenschutzgrundverordnung im Einklang stehen.
Vorausgegangen war eine Klage eines Betriebsratsvorsitzenden eines Unternehmens, welcher zusätzlich zum betrieblichen Datenschutzbeauftragten bestellt wurde. Nach Inkrafttreten der DSGVO im Jahr 2018 wurde der Kläger jedoch von dem beklagten Unternehmen in seiner Funktion als Datenschutzbeauftragter abberufen. Gründe dafür seien mögliche Interessenskollisionen zwischen der beiden von ihm ausgeübten Positionen, welche einen wichtigen Grund für die Abbestellung im Sinne des §§ 38 Abs. 2, 6 Abs. 4 BDSG i.V.m. § 626 BGB darstellen.
In einem Vorabentscheid soll der EuGH nun ergründen, ob diese hohen Anforderungen des deutschen Rechts mit dem Unionsrecht im Einklang stehen. Dieses schreibt in Art. 38 der DSGVO lediglich vor, dass eine Abbestellung nur dann nicht erfolgen darf, wenn sie wegen der Aufgabenerfüllung des Datenschutzbeauftragten vorgenommen wird.
Sollte der Gerichtshof die Anforderungen des BDSG an eine Abberufung für unionsrechtskonform erachten, ergibt sich die Folgefrage, ob die Ämter des Betriebsratsvorsitzenden und des Datenschutzbeauftragten in einem Betrieb in Personalunion ausgeübt werden dürfen oder ob dies zu einem Interessenkonflikt iSv Art. 38 Abs. 6 Satz 2 DSGVO führt. In einem früheren Urteil wurde vom BAG in Erfurt eine solche Personalunion als vereinbar erklärt. Das Urteil wurde jedoch im Jahr 2011 – und damit vor dem Inkrafttreten der DSGVO – verkündet.
3. Mai 2021
Nachdem bereits die Datenschutzkonferenz des Bundes und der Länder (DSK) der Luca-App Mängel attestiert hatte, hat sich nun auch eine Gruppe führender IT-Sicherheitsexpertinnen und -experten kritisch über die App geäußert, welche bereits durch einige Bundesländer erworben wurde und die Kontaktnachverfolgung in der Corona-Pandemie erleichtern soll. Die App weise demnach derart schwerwiegende Defizite auf, dass die mit der Nutzung einhergehenden Risiken gegenüber dem Nutzen der Anwendung “völlig unverhältnismäßig” seien.
Wesentliche Prinzipien seien nicht erfüllt
In der gemeinsamen Stellungnahme kritisieren die Expertinnen und Experten nicht das Vorhaben der technischen Kontaktnachverfolgung per se, dieses könne – wenn richtig eingesetzt – ein wirksames Mittel zur Pandemie-Bekämpfung darstellen, indem die Arbeit der Gesundheitsämter vereinfacht wird. Jedoch erfülle die Luca-App nicht die sicherheitsrelevanten Prinzipien der Zweckbindung, Offenheit/Transparenz, Freiwilligkeit und Risikoabwägung.
Intransparent, unfreiwillig und unsicher?
Zweckbindung bedeute im Rahmen der Kontaktnachverfolgung, dass die erhobenen Daten nur zum Zwecke der Pandemiebekämpfung eingesetzt werden dürfen. Weil jedoch bereits weitere Geschäftsmodelle mit der App als Basis diskutiert würden, sei dieses Kriterium nicht erfüllt. In diesem Zusammenhang wird auch die Gewinnerzielungsabsicht des Betreibers kritisch betrachtet. Zudem wird der Entwicklungsprozess des Systems als intransparent bezeichnet und dem Entwickler vorgeworfen, dass “selbst leicht zu findende Sicherheitslücken” erst im laufenden Betrieb entdeckt wurden. Schließlich könne auch nicht mehr von einer freiwilligen Nutzung gesprochen werden, wenn die Verwendung der App zur Voraussetzung der Teilhabe am gesellschaftlichen Leben gemacht wird.
Besonders kritisiert wird die mangelhafte Nutzen-Risiko-Abwägung. Einerseits sei bereits der Nutzen für die Gesundheitsämter fraglich, wenn die Auswertung weiterhin manuell erfolge. Zudem könnte auch die App mit falschen Daten gefüttert bzw. manipuliert werden. Sicherheitsrisiken bestünden auch hinsichtlich der erhobenen Daten selbst. Diese seien besonders sensibel, würden aber zentralisiert und auf Vorrat gespeichert. Bereits aus Metadaten ließen sich Bewegungsprofile erstellen, sodass auch eine doppelte Verschlüsselung keinen vollständigen Schutz biete. Ohnehin seien die zentral gespeicherten Daten kaum vor Angriffen zu schützen. Insgesamt seien somit die mit der Nutzung verbundenen Risiken “völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.”
Betreiber weisen Kritik zurück
Patrick Hennig, Geschäftsführer der der Culture4Life GmbH, die das Luca-System betreibt, wies die geäußerte Kritik zurück. Die App sei transparent und werde den Nutzern nicht aufgezwungen. Auch sei das System sicher, trotz der zentralisierten Struktur. Dies sei auch bei vielen anderen Systemem – wie im Finanzsystem, der Gesundheitsakte oder bei den Gesundheitsämtern – üblich, und durch eine umfassende dezentrale Verschlüsselung seien die Daten nicht durch eine einzige Partei lesbar.
28. April 2021
Die Möglichkeiten der Verarbeitung, Recherche und Auswertung von personenbezogenen Daten durch die Polizei wurden in den letzten Jahren weiter ausgedehnt. So werden nicht nur die Daten von Bürgerinnen und Bürgern erfasst, die durch ihr Verhalten Anlass gegeben haben, sondern auch die derer, die sich zufällig an bestimmten Orten aufhalten. Sobald die Daten erfasst sind, sind diese zeitlich unbegrenzt abrufbar.
In dem Positionspapier bezieht der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Stellung zur Zweckbindung in polizeilichen Informationssystemen. Hierbei wird auch dem technischen und elektronischen Fortschritt der Datenverarbeitung Rechnung getragen. Vor diesem Hintergrund wird mit Blick auf den Grundrechtsschutz an den Zweckbindungsgrundsatz des deutschen und europäischen Datenschutzrechts angeknüpft. Demnach dürfen die personenbezogenen Daten nur zu dem Zweck verarbeitet werden, zu dem sie ursprünglich erhoben wurden.
Insbesondere bei Informationen aus polizeilichen Ermittlungen handelt es sich um sensible Daten, die grundsätzlich nur für Zwecke verarbeitet werden dürfen, für die sie erhoben wurden. Ausnahmen bedürfen demnach einer gesetzlichen Grundlage und sind streng auszulegen.
In dem Positionspapier werden die einzelnen Anforderungen wie beispielsweise die Zweckfestlegung, Zwecktrennung und die funktionsgerechte Vergabe von Zugriffsrechten dargelegt und erklärt.
Mit der Stellungnahme durch den BfDI wird eine Zielrichtung der datenschutzgerechten Weiterentwicklung der Informationssysteme der Polizei vorgegeben.
Im Rahmen der Corona-Pandemie setzt die Landesregierung Nordrhein-Westfalen zum Zweck des Gesundheitsschutzes unter anderem auf den Einsatz von Coronaselbsttests für alle an Schulen in Präsenz tätigen Personen. Über datenschutzrechtliche Grundsätze, Voraussetzungen und Grenzen bei der Durchführung dieser Selbsttests informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem Schreiben.
Auch wenn die Durchführung von Coronaschnelltests aus datenschutzrechtlicher Sicht laut der LDI NRW nicht zu beanstanden ist, so müssen dennoch bestimmte Grundsätze beachtet werden, um datenschutzrechtliche Voraussetzungen zu erfüllen.
1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten
Bei der Durchführung von Coronaschnelltests werden durch die Schulen Gesundheitsdaten z.B. von Schülerinnen und Schülern, d.h. personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verarbeitet. Diese Gesundheitsdaten unterliegen einem besonderen Schutz nach der DSGVO, da deren Verarbeitung grundsätzlich untersagt ist. Nur in Ausnahmefällen nach Art. 9 Abs. 2 DSGVO ist eine Verabeitung zulässig. So z.B. nach Art. 9 Abs. 2 lit. i in den Fällen, in denen die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage nationalen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist. Hinsichtlich einer solchen Regelung verweist die LDI NRW als Rechtsgrundlage für die Schulen auf § 1 Abs. 2 lit. b und lit. e Coronabetreuungsverordnung (CoronaBetrVO) und bejahte auch dessen Verhältnismäßigkeit.
2. Vertraulichkeit der Testergebnisse
Zudem verweist die Landesbeauftragte darauf, dass die Ergebnisse der Coronaselbsttests Unbefugten gegenüber nicht offengelegt werden dürfen. Das bedeutet, dass die Schulen die Bekanntgabe der Ergebnisse so organisieren müssen, dass sie den Schülerinnen und Schülern oder ihren Erziehungsberechtigten gegenüber einzeln erfolgt. Im Rahmen dessen sieht die LDI NRW den Ausschluss positiv getetester vom Präsensunterricht, durch den grundsätzlich auch ein Rückschluss auf das Testergebnis möglich wäre, als unumgänglich und mithin als datenschutzrechtlich hinnehmbar an.
3. Dokumentation der Testergebnisse
Schließlich müssen die Schulen die Testergebnisse nach § 1 Abs. 2 lit. e CoronaBetrVO erfassen und dokumentieren. Positive Testergebnisse müssen sie dem Gesundheitsamt übermitteln. Die Ergebnisse der durchgeführten Coronaselbsttests dürfen darüber hinaus nicht an Dritte übermittelt werden und müssen nach 14 Tagen vernichtet werden. Hinsichtlich der Vernichtung verweist die LDI NRW darauf, dass eine datenschutzkonforme Vernichtung erfolgen muss, d.h. in der Form, dass die Daten nicht wieder herstellbar sind, wofür sie ein bloßes Zerreißen von Listen und die Entsorgung über den Papiermüll als nicht ausreichend beschreibt. Auch eine Erforderlichkeit, die Testergebnisse zur Schülerakte zu nehmen, verneint die Landesbeauftragte. Sollte im Einzelfall eine Aufbewahrung für erforderlich gehalten werden, so verweist die LDI NRW darauf, dass dies nur in einem verschlossenen Umschlag, auf den nur ein eingeschränkter Personenkreis zur Aufgabenerfüllung der Schule Zugriff haben darf, erfolgen sollte. Auf dem Umschlag sei dann, so die LDI NRW, zu vermerken, wer wann und zu welchem Zweck auf das Testergebnis zugegriffen hat und wann es danach wieder im Umschlag verschlossen wurde.
Apples neue Datenschutzfunktionen sorgen für Unruhe unter mehreren Medien- und Werbeverbände. Nun haben sie Wettbewerbsbeschwerde gegen den US-Konzern beim Bundeskartellamt eingelegt.
Künftig sollen Apps auf Apples Endgeräten, konkret dem iPhone und iPad mit Softwareversion iOS 14.5, den Benutzer um Erlaubnis fragen, bevor dessen Verhalten für Werbezwecke verfolgt werden kann. Das neue Verfahren mit dem Namen „App Tracking Transparency“ (ATT) kündigte Apple bereits vergangenen Sommer an, hatte die tatsächliche Einführung allerdings verschoben, um App-Anbietern Zeit für die Umstellung zu geben. Vor allem der Streit mit Facebook in Bezug auf Apples geplanten Änderungen sorgte dabei für große Aufmerksamkeit (wir berichteten). Da nun die Möglichkeit besteht, dass viele Benutzer einem Tracking nicht zustimmen, fürchten viele Anbieter um ihr Werbegeschäft.
Der Grund für die Beschwerde vor dem Bundeskartellamt ist allerdings ein anderer. Während Apps von Drittanbieter eine wirksame Einwilligung einholen müssen, geht Apple selbst einen anderen Weg. Eigene Dienste sind von der Änderung nämlich ausgenommen und können weiterhin die Daten der Nutzer sammeln. Die Beschwerdeführer, unter anderem der Zentralverband der deutschen Werbewirtschaft ZAW, die Organisation der Mediaagenturen OMG, der Markenverband, sowie die Verlegerverbände BDZV und VDZ sehen darin einen Versuch, „der Werbewirtschaft den Zugriff auf wettbewerbsrelevante Daten unzulässig zu erschweren“ und die Medienvielfalt zu gefährden. Damit muss nun eine Entscheidung des Bundeskartellamtes abgewartet werden.
Über die weitere Enwicklung werden wir Sie hier auf dem Laufenden halten
Mit Urteil vom 27.04.2021 hat das Bundesarbeitsgericht entschieden, dass ein entlassener Angestellter nicht vom früheren Arbeitgeber verlangen kann, eine Kopie seiner gesamten E-Mail-Kommunikation zur Verfügung gestellt zu bekommen (BAG, Urt. v. 27.4.2021, Az. 2 AZR 342/20). Der Kläger stützte sein Begehren auf Art. 15 Abs. 3 DSGVO.
Nach seiner Kündigung klagte der Wirtschaftsjurist auf Auskunft über die von ihm gespeicherten personenbezogenen Daten und forderte eine Kopie dieser Daten. Mit solchen Vorgehen versuchen Gekündigte nicht selten, in Kündigungsschutzprozessen Druck auf den Arbeitgeber auszuüben oder beispielsweise eine höhere Abfindung zu bekommen. Die Auskunft wurde ihm erteilt, wegen der Kopie des E-Mail-Verkehrs reichte der Gekündigte Klage ein. Bereits in der Vorinstanz beim Landesarbeitsgericht Niedersachsen musste er eine teilweise Niederlage einstecken. Von seinen eigenen E-Mails könne er keine Kopie verlangen, da ihm diese schon bekannt seien.
Dem anschließend hat der 2. Senat des BAG dem “Recht auf Kopie” nun klare Grenzen gesetzt. Der Auskunftsanspruch muss vom Arbeitgeber erfüllt werden. Eine Kopie muss er allerdings nur dann überlassen, wenn die Unterlagen genau bezeichnet werden. Daran fehlte es auch vorliegend. Da der Kläger lediglich ein pauschales Verlangen vorbrachte, die E-Mails aber nicht konkret benannte, war der Klageantrag nicht nach § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmt. In einem späteren Zwangsvollstreckungsverfahren sei sonst nicht klar, welche E-Mails der Arbeitgeber herausgeben müsse. In solchen Fällen, in denen die konkrete Bezeichnung nicht möglich ist, müsste der Anspruch im Wege einer Stufenklage nach § 254 ZPO verfolgt werden.
Durch diese Form der Klageabweisung hat es das BAG nun offengelassen, wie weit der materiell-rechtliche Anspruch auf Überlassung von Kopien tatsächlich reicht und ob E-Mails vom Anspruch aus Art. 15 Abs. 3 DSGVO überhaupt erfasst sind.
26. April 2021
Der Impfausweis ist momentan ein so reges Gesprächsthema wie selten zuvor. Noch vor ein paar Tagen warnte das Bundesgesundheitsministerium (BMG) auf Twitter davor, Fotos vom Eintrag der Covid-19-Impfung im Impfausweis in sozialen Netzwerken zu posten. Dies erfolgt vor dem Hintergrund, dass es sich bei den abgebildeten Informationen um sensible, persönliche Gesundheitsdaten handelt, die von Kriminellen missbraucht werden können. Auch können mithilfe solcher Fotos Fälschungen von Impfpässen angefertigt werden, ein Umstand der in den letzten Wochen für Aufsehen sorgte.
Dementsprechend könnte man sich fragen, ob nicht etwa ein digitaler Impfpass sicherer wäre. Die EU-Staaten planen etwa ein einheitliches “digitales, grünes Zertifikat” für den kommenden Sommer. Ein solches soll Geimpfte, Genesene und solche mit negativem Testergebnis ausweisen und so vor allem Reisen einfacher möglich machen. Der Nachweis soll aus einem QR-Code und einer Signatur bestehen und auf einem mobilen Gerät gespeichert werden können. Technisch soll das Ganze möglich sein, indem jede ausstellende Stelle einen eigenen Signaturschlüssel bekommt. Diese Schlüssel werden in einer EU-weiten, sicheren Datenbank gespeichert. Personenbezogene Daten sollen dabei, laut Europäischer Kommission, nicht übermittelt werden.
Trotzdem kommt Kritik an dem Vorhaben auf. Problematisch scheint hier vor allem, ob wirklich ein umfassender Datenschutz gewährleistet werden kann. So betonte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski in einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA), dass es keine Datenbank mit personenbezogenen Daten auf EU-Ebene geben dürfe. Auch müsse klar geregelt werden, welche Daten wann und wie lange verwertet werden dürfen.
Eine Positionierung des europäischen Parlamentes diesbezüglich wird am 29.04. erwartet. Dabei sollten auch offene, datenschutzrechtliche Fragen geklärt werden.
Die entsprechenden Systeme für den Ausweis müssen auf nationaler Ebene von den Mitgliedsstaaten eingerichtet werden. Auf deutscher Ebene soll dieser Nachweis als Modul in die Corona-Warn-App integriert werden. Der analoge Ausweis soll durch einen digitalen nur ergänzt und nicht ersetzt werden, wie das BMG betont. Ob ein solcher digitaler Ausweis in der Praxis dann tatsächlich mehr Vorteile bringt als der analoge, wird abzuwarten sein.
