Kategorie: Allgemein
20. Mai 2020
In Thüringen sind im Zuge der Corona-Pandemie bestimmte Dienstleistungsunternehmen, zum Beispiel Gaststätten, dazu verpflichtet, sogenannte „Corona-Listen“ zu führen. Ziel dieser Listen ist, dass im Falle einer möglichen Infektion mit SARS-CoV-2 von Kunden deren Kontaktpersonen festgestellt werden können. Damit können mögliche Infektionsketten nachverfolgt werden. In den „Corona-Listen“ werden personenbezogene Daten der Kunden wie Vor- und Nachname, Telefonnummer, E-Mail-Adresse und Adresse aufgenommen.
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, bezog hierzu Stellung. Er mahnte an, dass die Datenschutz-Grundverordnung auch in diesem Fall nicht außer Acht gelassen werden dürfe. Jeder Kunde, der im Rahmen dieser „Corona-Listen“ seine personenbezogenen Daten angibt, muss nach Art. 13 ff DSGVO Informationen über Datenerhebung und -verarbeitung erhalten. Dabei müssen insbesondere der Zweck der Datenverarbeitung und die Speicherdauer angegeben werden. Hasse merkte zur Speicherdauer an, dass diese höchstens zwei bis drei Wochen betragen dürfe.
Es sei davon abzusehen, fortlaufende „Corona-Listen“ auszulegen, bei denen Dritte Einblick in die bereits erfassten Daten anderer Gäste nehmen könnten. Selbiges gilt für das offene Führen von Büchern mit personenbezogenen Daten.
Problematisch ist weiterhin, dass für die Erhebung und Verarbeitung personenbezogener Daten entweder eine Rechtsgrundlage oder die freiwillige Einwilligung der betroffenen Personen vorliegen müssen. Dr. Lutz Hasse meint hierzu: „Eine Rechtsgrundlage kann ich, wie das Sozialministerium auch, derzeit nicht erkennen.“ Eine Pflicht zur Speicherung der personenbezogenen Daten von Kunden in Restaurants und bei Friseuren sei in der Corona-Verordnung Thüringens nicht festgelegt. Damit kann die Erhebung und Verarbeitung der personenbezogenen Daten alleine auf die Einwilligung der betroffenen Personen gestützt werden.
Bezüglich der Einwilligung sieht Hasse kritisch, dass diese mit einem Restaurantbesuch oder Friseurtermin zusammenhängt und zweifelt damit die Freiwilligkeit eine solchen Einwilligung an.
Die Fluggesellschaft räumte ein, dass sie Ziel eines Hackerangriffs geworden ist. Die Angreifer hatten Zugriff auf die Daten von rund neun Millionen Kunden. Auch Kreditkartendaten sind teilweise betroffen.
Dies teilte Easyjet am Dienstag mit. Die Angreifen konnten unter anderem auf E-Mail-Adressen sowie Reisedetails zugreifen. Zum jetzigen Zeitpunkt gebe es keine Hinweise darauf, dass die Daten missbraucht worden seien. Die Airline will alle Betroffenen bis zum 26. Mai über den Angriff informieren, um so das Risiko möglicher Phishing-Attacken einzudämmen. „Wenn Sie nicht kontaktiert werden, dann wurde auf ihre Daten nicht zugegriffen“, betonte die Airline.
Wer nicht darauf warten möchte, kann hier durch Eingabe seiner Email auf der Website „Have I been pwned?“ überprüfen, ob er vom Datenleck betroffen ist.
Bei mehr als 2200 Kunden gelang es den Hackern darüber hinaus die Kreditkartendaten zu erbeuten. Erste Hinweise auf die Attacke hatte Easyjet im Januar 2020. Wer dahinter steckt, ist dem Unternehmen nicht bekannt.
„Es tut uns leid, dass das passiert ist“, verlautbarte das Unternehmen. Die zuständigen Behörden seien informiert.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.
Mögliche Verfassungswidrigkeit
Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes.
Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.
Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.
Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.
Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.
Parlament lag Stellungnahme von Kelber vor
Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.
Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.
Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.
Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .
Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.
Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.
Die Cloud-Software des Hasso-Plattner-Instituts (HPI) wird in mehreren Bundesländern eingesetzt. Nach Angaben vom HPI konnten sich Unberechtigte über einen allgemeinen Einladungs-Link bei dem System anmelden und dabei Nutzerdaten von Anwendern einsehen. So wurde im Saarland eine Liste von ca. 100 Namen von Schülern und Lehrern bekannt. Insgesamt sollen bundesweit 13 Schulen betroffen sein, bei denen sich auffällige Nutzer registriert hatten.
Das HPI wurde vom saarländischen Datenschutzbeauftragten auf eine potentielle Lücke hingewiesen, über die es Hackern möglich war, sich illegal einen Account in der HPI Schul-Cloud anzulegen. Verdächtigte Nutzer sollen dabei in dem Schul-System eine Gruppe erstellt und versucht haben, Schüler und Lehrkräfte in dieses Team einzuladen.
Die Sicherheitslücke der Schul-Cloud wurde nun geschlossen. Die Funktion eines schulweiten Registrierungslinks wurde nach dem Vorfall aus der Software entfernt. Es sollen stattdessen andere Formen der Nutzerregistrierung verwenden werden – wie z.B. ein persönlicher Einladungs-Link.
Zudem wurde bei der Überprüfung des Vorfalls eine weitere Datenschutzlücke ersichtlich. In einem Ticketsystem zur Entwicklung der Software, waren zum Teil Tickets öffentlich einsehbar, in denen Fehlermeldungen oder Verbesserungsvorschläge von Nutzern erfasst wurden.
13. Mai 2020
Im Urteil vom 5. Dezember 2019 (Az.: 2 AZR 223/19) hat sich das Bundesarbeitsgericht mit dem besonderen Kündigungsschutz für Datenschutzbeauftragte befasst.
Grundsätzlich gilt für interne Datenschutzbeauftragte ein besonderer Kündigungsschutz gemäß § 38 Abs. 2 BDSG in Verbindung mit § 6 Abs. 4 Satz 1 BDSG. Besonderen Kündigungsschutz genießen zum Beispiel auch Arbeitnehmer in Elternzeit oder Betriebsratsmitglieder. Diese Personengruppen können entweder nicht oder nur aus besonders wichtigem Grund gemäß § 626 BGB gekündigt werden.
Ein wichtiger Grund kann zum Beispiel in der Unzumutbarkeit des Fortführens des Arbeitsverhältnisses liegen. Durch die besondere Stellung des Datenschutzbeauftragten soll ein effektiver und ungestörter Datenschutz gewährleistet werden.
Im zugrundliegenden Urteil ist die Gesamtanzahl
der Beschäftigten des Unternehmens unter den zum damaligen Zeitpunkt
maßgeblichen Schwellenwert von zehn Mitarbeiter gesunken. Das Unternehmen
wollte daraufhin seinen internen Datenschutzbeauftragten kündigen.
Das Bundesarbeitsgericht hat diese Kündigung als wirksam eingestuft. Als Begründung führte das Gericht an, dass maßgeblich für die Pflicht zur Benennung eines Datenschutzbeauftragten die Anzahl der Beschäftigten ist. Diese Pflicht entfällt nach aktueller Rechtslage, wenn die Gesamtanzahl der Beschäftigten unter 20 sinkt.
Dem Urteil kommt momentan besondere Relevanz zu teil, da am 26. November 2019 das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft getreten ist. Dadurch stieg der Schwellenwert für die zwingende Benennung eines Datenschutzbeauftragen gemäß § 38 Abs. 1 Satz 1 BDSG von zehn auf 20 Mitarbeiter.
Damit gelten Datenschutzbeauftragte in Unternehmen ab zehn Mitarbeitern, aber unter 20 Mitarbeitern, als freiwillige Datenschutzbeauftragte, da für deren Bestellung keine gesetzliche Pflicht mehr vorliegt. Für diese Datenschutzbeauftragten entfällt der besondere Kündigungsschutz, der normalerweise erst nach Abberufung beginnt, ab dem 27. November 2020 automatisch. Ab diesem Datum an gelten Datenschutzbeauftragte in so einem Unternehmen als „normale“ Mitarbeiter, die den entsprechenden gesetzlichen Bestimmungen unterliegen.
Wenn Sie keine Mitarbeiter haben, die Sie zum internen Datenschutzbeauftragten ernennen können oder wollen, können Sie sich hier über externe Datenschutzbeauftragte informieren.
Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (im Folgenden: LDI), Helga Block, hat heute den Jahresbericht für 2019 veröffentlicht. Gleichzeitig gab sie auch den Leitungswechsel bekannt, da sie 2020 ihren gesetzlichen Ruhestand antreten wird.
Die datenschutzrechtlichen Eingaben sind, im Vergleich zum Vorjahr, auf über 12.500 weiter angestiegen. Über 2200 Datenpannen wurden in der Zeit gemeldet. Obwohl bereits einige Grundsatzfragen durch das LDI geklärt werden konnten, besteht weiterhin Klärungsbedarf zu den Vorgaben und der Anwendung der DSGVO.
Die Landesbeauftragte hatte sich 2019 schwerpunktmäßig u.a. mit der Evaluation zur DSGVO und den datenschutzrechtlichen Fragen zur inneren Sicherheit, zum Internet und zu den Medien befasst. Besonders kritisierte Helga Block die umfangreichen Eingriffe in die informationelle Selbstbestimmung durch die strategische Fahndung der Polizei. Bei dieser wurden pro Fahndung jeweils 5000 Menschen Teil von Kontrollen und Identitätsfeststellungen, ohne dass das angestrebte Ziel erreicht worden ist. Ein weiteres zentrales Thema war die Veröffentlichung von Informationen zu Entscheidungen des Europäischen Gerichtshofes zum Betrieb von Facebook-Fanpages und zur Einbindung von Social Plugins auf Websites.
Abschließend äußerte sich Helga Block zur aktuellen Situation: „Die Vorlage dieses Berichtes fällt angesichts der Corona-Pandemie in eine Krisenzeit, in der die Freiheitsrechte durch Maßnahmen der Gesundheitsfürsorge stark eingeschränkt werden. Der Schutz der Grundrechte, zu denen auch das Recht auf informationelle Selbstbestimmung gehört, ist auch und gerade in einer solchen schweren Krise ein wesentliches Merkmal unserer freiheitlich-demokratischen Grundordnung, die es zu schützen gilt.“
Perspektivisch sprach sich die Landesbeauftragte für den kommenden Berichtszeitraum für die Wahl eines Ländervertreters aus, der im Europäischen Datenschutzausschuss neben dem Bundesbeauftragten an den Ausschusssitzungen teilnehmen kann.
Mit Wirkung zum 04. Mai 2020 hat der Europäische Datenschutzausschuss (EDSA) neue Richtlinien zur Einwilligung nach der Datenschutz-Grundverordnung erlassen und veröffentlicht (bisher liegen die neuen Leitlinien nur in englischer Sprache vor). Dabei handelt es sich um eine aktualisierte Fassung des „Working Papers“ WP 259 rev. 01 der Artikel-29-Datenschutzgruppe. Diese Aktualisierungen betreffen vor allem den Betrieb von Webseiten und dort einzuholende Einwilligungen der Nutzer.
Der EDSA sah sich zu einer Aktualisierung dieser Leitlinien veranlasst, da das Thema „Einwilligung“ noch immer zahlreiche praktische und rechtliche Schwierigkeiten mit sich bringt. Dabei geht es laut EDSA insbesondere um zwei Punkte, die weiterer Klarstellung bedürften: zum einen die Wirksamkeit von Einwilligung bei der Nutzung sog. „Cookie Walls“, zum anderen das im WP 259 rev. 01 dargestellte Beispiel 16 zum Scrollen und Wischen auf einer Website als mögliche Einwilligung.
„Cookie Walls“ unzulässig
Zunächst stellt der EDSA klar, dass eine Einwilligung dann nicht als „freiwillig“ abgegeben (im Sinne des Art. 4 Nr. 11 DS-GVO) angesehen werden könne, wenn der Verantwortliche die Nutzung eines Services von der Erteilung einer Einwilligung abhängig macht und darauf verweist, die betroffene Person könne den Service andernfalls auch bei einem anderen Anbieter nutzen (Rn. 38). Eine solche Einwilligung sei wegen einer fehlenden echten Wahlmöglichkeit nicht freiwillig, denn sie sei vom Verhalten anderer Marktteilnehmer sowie von der Beurteilung des Betroffenen abhängig, ob das andere Angebot als tatsächlich gleichwertig angesehen wird. Zudem würde dies den Verantwortlichen dazu verpflichten, Marktveränderungen zu beobachten, um Änderungen in Bezug auf gleichartige Angebote feststellen zu können. Im Ergebnis dürften Verantwortliche die Nutzung eines Services nicht davon abhängig machen, dass der Nutzer eine Einwilligung in die Verarbeitung seiner Daten für zusätzliche Zwecke erteilt. Sog. „Cookie Walls“ seien demnach unzulässig (Rn. 39).
Scrollen und Wischen nicht als Einwilligung geeignet
Die zweite Klarstellung des EDSA bezieht sich auf das Beispiel 16, welches die Artikel-29-Datenschutzgruppe im WP 259 rev. 01 gegeben hatte. Demnach stelle das Scrollen oder Wischen auf einer Webseite keine eindeutig bestätigende Handlung dar (Rn. 68). Der Hinweis durch den Verantwortlichen, das fortgesetzte Srollen oder Wischen würde durch den Verantwortlichen als Einwilligung aufgefasst, könne schwierig zu erkennen sein, sodass er durch den Betroffenen übersehen werden könne. Diese Auffassung hat der EDSA nun bestätigt und klargestellt, dass ein solches Scrollen oder Wischen „unter keinen Umständen“ eine unmissverständlich abgegebene Willensbekundung (siehe Art. 4 Nr. 11 DS-GVO) darstelle. Ein solches Verhalten könne deshalb nicht als Einwilligung angesehen werde, weil es sich nicht leicht von sonstigem Nutzerverhalten unterscheiden lasse. Zudem könne der Betroffene in einem solchen Fall seine Einwilligung nicht „so einfach wie die Erteilung der Einwilligung“ widerrufen, wie dies Art. 7 Abs. 3 S. 4 DS-GVO fordert.
Ulrich Kelber, Bundesdatenschutzbeauftragter und selbst Mitglied des EDSA, unterstützte diese Klarstellungen. Es sei problematisch, dass einige Internetseiten durch ihre Gestaltung den Nutzenden Tracking aufdrängten, und er hoffe, dass die Klarstellungen zu einem Umdenken bei solchen Anbietern sorgt. Es sei erforderlich, dass diese den Nutzenden endlich datenschutzfreundliche Alternativen anbieten.
8. Mai 2020
Zuletzt war es zwei Untersuchungsausschüssen im Bundestag nicht möglich die Diensthandys der Minister auszuwerten. Wenn es nach den Vorsitzenden der betreffenden parlamentarischen Ausschüsse geht, soll sich das in Zukunft ändern.
Nach Informationen von Süddeutscher Zeitung, NDR und WDR erfolgte die Initiative aufgrund der Vorkommnisse, die sich bei der Maut-Affäre um Bundesverkehrsminister Andreas Scheuer (CSU) sowie bei der Berateraffäre um Ex- Bundesverteidigungsministerin Ursula von der Leyen (CDU) ereigneten.
Was war zuvor passiert?
Als bekannt wurde, dass im Zuge des Untersuchungsausschusses zur Maut-Affäre die Daten auf den Diensthandys des Bundesverkehrsministers und weiterer führender Beamten gelöscht worden sind, war die Empörung im Bundestag – quer durch die Fraktionen – vorprogrammiert. Die Grünen sprachen sogar von „systematischer Löschung“. Denn einen solchen Vorgang durften die Abgeordneten nicht zum ersten mal bezeugen. Als Abgeordnete 2019 in der Berateraffäre die Handydaten der früheren Bundesverteidigungsministerin Ursula von der Leyen (CDU) auswerten wollten, waren die Daten ebenfalls gelöscht worden.
„Diensthandys sind kein rechtsfreier Raum (…)“
„Mir stinkt, dass wir über gelöschte Handydaten diskutieren müssen“, zitiert die Süddeutsche Zeitung (SZ) den Vorsitzenden des Untersuchungsausschusses, der mit der Maut-Affäre betraut ist, Udo Schiefner (SPD). „Daten von Diensthandys müssten gesichert werden, wie alle anderen Kommunikationsdaten der Ministerien auch. Wie soll das Parlament sonst seine Kontrollfunktion umfassend wahrnehmen?“ In dieselbe Kerbe schlägt der Vorsitzende des Untersuchungsausschusses zu den teuren Beraterverträgen im Bundesverteidigungsministerium, Wolfgang Hellmich (SPD). Denn auch er sieht „erheblichen Regelungsbedarf“ und fordert eine Überarbeitung der bestehenden Regelungen durch die Bundesregierung, in der „geregelt sein muss, dass die Diensthandys der Minister für Untersuchungsausschüsse verfügbar sein müssen“. „Diensthandys sind kein rechtsfreier Raum. Es geht hier um die Wahrung der parlamentarischen Rechte“, sagt Hellmich.
Die Status quo Rechtslage
Eigentlich ist die Rechtslage klar: Die Geschäftsordnung der Bundesministerien sowie die sogenannten Registraturrichtlinie schreiben vor, dass dienstliche Inhalte der Ministerhandys grundsätzlich zu archivieren sind. „Klingt erst einmal gut“, mag der aufmerksame Leser nun denken. Der Teufel liegt hier im Detail. Denn die Ministerinnen und Minister können selbst entscheiden, welche Kommunikation für den jeweiligen Sachvorgang relevant ist und somit eine nicht nachvollziehbare Vorabauswahl der zu archivierenden Daten treffen. Das liegt daran, dass Minister ihre Diensthandys auch für private Zwecke nutzen dürfen. In diesem Fall findet „eine Speicherung von SMS und Telefonkontakten außerhalb der Geräte mit Blick auf den Daten- und Persönlichkeitsschutz nicht statt“, so die Bundesregierung.
Mit ihrem Vorstoß wollen Schiefner und Hellmich nun verbindliche und härtere Regelungen erwirken. Das Problem an der Sache ist nur, dass dafür das Bundeskabinett die Gemeinsame Geschäftsordnung verschärfen müsste. Und wer ist Teil des Bundeskabinetts? Richtig, die Minister.
Das Bundesverfassungsgericht lehnte, mit am 30. April 2020 veröffentlichten Beschluss, einen Antrag auf vorläufige Außerkraftsetzung des Vollzugs, neu in das SGB V eingefügter Vorschriften, ab.
Mithilfe dieser neu eingefügten Vorschriften (§ 68a Abs. 5 SGB V und §§ 303a ff. SGB V) sollte es gestattet werden, Daten von gesetzlich Krankenversicherten in pseudonymisierter oder anonymisierter Form, für Zwecke der medizinischen Forschung und hinsichtlich der digitalen Innovation zu nutzen. Hierbei sollen personenbezogene Daten der gesetzlich Versicherten wie Alter, Geschlecht oder Wohnort sowie bestimmte Gesundheitsdaten an den Spitzenverband Bund der Krankenkassen als Sammelstelle der Daten übermittelt und anschließend von diesem an ein (bisher noch nicht eingerichtetes) Forschungsdatenzentrum weitergegeben werden.
Der Antragsteller, der an einer seltenen Erbkrankheit leidet, befürchtet, dass trotz der vorgeschriebenen Datenschutzregeln bezüglich Pseudo- oder Anonymisierung eine Identifizierung seiner Person möglich sein könnte.
Die 2. Kammer des Ersten Senats begründete die Ablehnung des Antrags damit, dass im Rahmen eines Eilverfahrens inhaltlich nicht über die schwierigen verfassungsrechtlichen Fragen entschieden werden könne, welche das Verfahren mit sich bringe. Eine durch den Antragsteller noch zu erhebende Verfassungsbeschwerde wäre derzeit weder offensichtlich unzulässig noch unbegründet, da aufgrund des sensiblen Charakters der erfassten Gesundheitsdaten und deren flächendeckender Erhebung tiefe Eingriffe in das Persönlichkeitsrecht möglich sein können. In einer summarischen Prüfung wurden die Vor- und Nachteile gegeneinander abgewogen, die eine Außerkraftsetzung der neu eingeführten Regelungen bzw. eine weitere Anwendung dieser Regelungen nach sich ziehen können. Nach Ansicht der Kammer sind die „Nachteile, die sich aus einer vorläufigen Anwendung der Vorschriften ergeben, wenn sich das Gesetz im Nachhinein als verfassungswidrig erwiese (…) zwar von erheblichem Gewicht. Sie überwiegen aber nicht deutlich die Nachteile, die entstünden, wenn die Vorschriften außer Kraft träten, sich das Gesetz aber später als verfassungsgemäß erwiese.“
