Schlagwort: BFDI

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass „zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat“. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

Datenschutzkonferenz (DSK) fordert ein Beschäftigtendatenschutzgesetz

6. Mai 2022

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich „dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen“ ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).

Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.“

Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.

Datenschutzkonferenz empfiehlt die Corona- Warn- App als datenschutzfreundlichere Alternative zur Kontakterfassung

1. Februar 2022

Am 27.01.2022 fand die erste Zwischenkonferenz der Datenschutzbeauftragten des Bundes und der Länder im neuen Jahr 2022 statt. In diesem Rahmen wurden aktuelle datenschutzrechtliche Fragen und Themen neu evaluiert und erörtert. Dabei soll die Sicherstellung des Grundrechts auf informationelle Selbstbestimmung gewährleistet werden.

Unter dem Vorsitz des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Herrn Prof. Ulrich Kelber wurden auch die grundrechtlichen Bedenken bei der Kontaktdatenerfassung in der Corona- Pandemie durch die Gesundheitsämter neu thematisiert.

Dabei merkte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit an, dass die Sammlung von Kontaktdaten bei aktuell sehr hohen Infektionszahlen ihren notwendigen Zweck nicht erfüllen, weil sie von den überlasteten Gesundheitsämtern nur noch wenig genutzt werden. Auch bei niedrigen Infektionszahlen sieht der Bundesbeauftragte dahingehend ein Problem, dass ein unverhältnismäßiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung der betroffenen Personen vorliegt

Im Rahmen der Datenschutzkonferenz wurde auf Grundlage dessen eine Forderung formuliert, die Möglichkeiten der Corona-Warn App zu nutzen, anstatt weiterhin umfassend Kontaktdaten zu sammeln, welche in diesem Kontext sensible Gesundheitsdaten im Sinne des Art. 9 DSGVO darstellen. „Die App warnt schnell über mögliche Risikokontakte und ist dank der dezentralen Struktur besonders sicher“.

Die DSK sieht eine Realisierung der Forderung auch darin, dass im Landesrecht Regelungen für die Corona-Warn-App vorgesehen werden, um dann besser von den Landesregierungen als sicher beworben und bekannt gemacht werden zu können.

Weitere aktuelle Informationen zur Datenschutzkonferenz finden Sie hier.

Beschwerden beim Datenschutzbeauftragten versehentlich gelöscht

29. Juni 2021

Datenschutz-Beschwerden, die zwischen dem 9. und 18. Juni abgegeben wurden, haben den BfDI größtenteils nicht erreicht.

Aufgrund eines technischen Fehlers sind bestimmte Beschwerden beim Bundesdatenschutzbeauftragten unwiderruflich gelöscht worden. Das teilte die Behörde am Montag in Berlin mit. Der Auslöser der Panne war eine Neugestaltung des Internetauftritts des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).

Meldungen über die Formularseite wurden aufgrund von falschen Server-Einstellungen von den Sicherheitsvorkehrungen der Netze des Bundes als gefährliches Spoofing eingestuft. Beim „Spoofing“ versuchen Angreifer, die eigene Identität zu verschleiern und sich als vertrauenswürdig darzustellen. Anders als bei unerwünschten Werbe-Mails – die in einem herkömmlichen Spam-Ordner landen – werden „Spoofing“-Mails im Netz des Bundes sofort gelöscht.

Laut Mitteilung haben „Eingaben und Beschwerden, die zwischen dem 9. und 18. Juni 2021 über diese Formulare abgegeben wurden, die Behörde größtenteils nicht erreicht und konnten somit auch nicht bearbeitet werden. Betroffene Bürgerinnen und Bürger werden daher gebeten, ihre in diesem Zeitraum abgegebenen Eingaben und Beschwerden noch einmal einzureichen.“ Allerdings hatten „zu keinem Zeitpunkt unberechtigte Dritte Zugriff auf die über die Formulare versandten Informationen. Der BfDI wird den Vorfall auch dafür nutzen, die Prozesse bei der Abnahme von Softwareprojekten zu verbessern“, heißt es in der Mitteilung. Mittlerweile funktionieren die Formulare und wurden wieder online gestellt.

BfDI in Leitungsgremium der Global Privacy Assembly gewählt

22. Oktober 2020

Die Global Privacy Assembly (GPA) wählte am 15. Oktober einstimmig den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber in ihr Executive Comitee.

Die GPA ist ein internationales Bündnis der Datenschutzbeauftragten, das 1979 gegründet wurde. Die Versammlung setzt sich auf internationaler Ebene im Bereich des Datenschutzes und des Schutzes der Privatsphäre ein. Mehr als 130 Datenschutzbehörden aus der ganzen Welt sind Mitglied des Bündnisses. Professor Kelber wurde als erster deutscher Datenschutzbeauftragter bei der 42. Konferenz in das Executive Comitee gewählt.

Der BfDI freute sich über das ihm entgegengebrachte Vertrauen: „In der vernetzten Welt von heute müssen wir gemeinsame Lösungen finden. Durch die Wahl haben wir die Chance, auch unsere europäischen Positionen und Sichtweisen einzubringen. Ich werde mich dafür einsetzen, dass die GPA zukünftig eine noch wichtigere Stimme in der globalen Debatte um den Datenschutz wird.“

Regierungsparteien änderten Gesetz zur elektronischen Patientenakte zugunsten der Versicherungen

24. September 2020

Die elektronische Patientenakte kommt 2021 und soll einen erheblichen Beitrag zur Digitalisierung des Gesundheitswesens leisten. Doch die vorgesehenen Regelungen stoßen auf starke Kritik von datenschutzrechtlicher Seite. So hat Ulrich Kelber, Bundesdatenschutzbeauftragter und zuständig für die Kontrolle der Datenverarbeitungen durch die gesetzlichen Krankenkassen, die unbeschränkte Zugriffsmöglichkeit von Ärzten auf die verarbeiteten Gesundheitsdaten gerügt (wir berichteten) und entsprechende aufsichtsbehördliche Maßnahmen angekündigt. Zudem wurde die Datensicherheit als unzureichend kritisiert, insbesondere hinsichtlich des vorgesehenen Authentifizierungsverfahrens.

Im Blickpunkt: Werbung für „Versorgungsinnovationen“

Dies sind jedoch nicht die einzigen Punkte, die im Zusammenhang mit dem sog. „Patientendaten-Schutz-Gesetz“ (PDSG) für eine gewisse Aufregung sorgen. Das Netzmagazin „Telepolis“ hatte bereits Anfang August über eine Änderung des § 68b Abs. 3 SGB V berichtet, die auch Ulrich Kelber sauer aufgestoßen ist. § 68b Abs. 2 S. 1 SGB V erlaubt den gesetzlichen Krankenversicherungen, „ihren Versicherten insbesondere Informationen zu individuell geeigneten Versorgungmaßnahmen zur Verfügung (zu) stellen und individuell geeignete Versorgungsmaßnahmen an(zu)bieten.“ Um solche Angebote überhaupt vorbereiten zu können, dürfen die Krankenkassen gem. § 68b Abs. 1 S. 4 SGB V „die versichertenbezogenen Daten, die sie nach § 284 Abs. 1 (SGB V) rechtmäßig erhoben und gespeichert haben, im erforderlichen Umfang auswerten.“ Zwar muss zumindest eine Pseudonymisierung der Daten, ggf. sogar eine Anonymisierung stattfinden. Weil hier jedoch u.a. auch Informationen über ärztliche Leistungen enthalten sind, erscheint es nicht ausgeschlossen, dass auch besonders zu schützende, weil sensible Gesundheitsdaten verarbeitet werden. Im Ergebnis kann hier eine Profilbildung der Versicherten stattfinden, um diesen „Versorgungsinnovationen“, das heißt zusätzliche Gesundheitsmaßnahmen über die bereits bezogenen ärztlichen Leistungen hinaus, anbieten zu können. Wohlwollend betrachtet geht es also um die Verbesserung der medizinischen Versorgung. Man kann darin aber auch eine exzellente Werbemöglichkeit für die Krankenkassen und deren Partner sehen.

Vorheriges Einwilligungserfordernis gestrichen

Die dargestellte Profilbildung und die Information der Versicherten über zusätzliche Maßnahmen darf aber, so die bisherige Rechtslage, nur erfolgen, wenn die Versicherten „zuvor schriftlich oder elektronisch eingewilligt“ haben (§ 68b Abs. 3 S. 1 SGB V). Dieses vorherige Einwilligungserfordernis entspricht den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an eine wirksame datenschutzrechtliche Einwilligung. Gleichzeitig ist sie den Krankenkassen jedoch ein Dorn im Auge, insbesondere stoße dies an „Praktikabilitätsgrenzen“ (so der GKV-Spitzenverband bereits in einer Stellungnahme vom 11.10.2019). Aus diesem Grunde wurde von dieser Seite eine Änderung des § 68b Abs. 3 S. 1 SGB V dahingehend gefordert, dass nur noch die Teilnahme an den Angeboten und die dafür erforderlichen Verarbeitungen der vorherigen Einwilligung bedürfen – nicht aber die vorbereitenden Maßnahmen, also die Profilbildung. Dieser Änderungsvorschlag wurde in ähnlicher Form in das Gesetz aufgenommen und der neue § 68b Abs. 3 SGB V laut Gesetzesbegründung darauf gestützt, dass sich „das vormals bestehende Einwilligungserfordernis (…) als nicht praktikabel erwiesen hat.“ So lautet der neue § 68b Abs. 3 SGB V – die Gesetzesänderung wurde durch den Bundesrat am 18.09.2020 angenommen – nun wie folgt: „Die Teilnahme an Maßnahmen nach Absatz 2 ist freiwillig. Die Versicherten können der ge-zielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. Die Krankenkassen informieren die Versicherten bei der ersten Kontaktaufnahme zum Zwecke der Information oder des Unterbreitens von Angeboten nach Absatz 2 über die Möglichkeit des Widerspruchs.“

Statt auf eine vorherige ausdrückliche Einwilligung, setzt das Gesetz also auf eine Widerspruchsmöglichkeit. Diese bezieht sich jedoch, folgt man dem Wortlaut der Norm, nur auf die gezielte Information sowie die Unterbreitung von Angeboten, nicht aber darauf, dass die personenbezogenen Daten nach § 68b Abs. 1 SGB V zur Angebotsvorbereitung verarbeitet werden. Auf diesen Verarbeitungsvorgang haben die Versicherten demnach keinen Einfluss mehr. Sie werden erst über die Datenverarbeitung informiert, wenn die Profilbildung bereits stattgefunden hat, und können lediglich die weiteren Werbemaßnahmen seitens der Versicherungen verhindern.

Wurde der BfDI getäuscht?

Pikant ist an dieser Änderung auch der Umstand, dass dem BfDI zur vorherigen Stellungnahme, die vor Verabschiedung des Gesetzes erfolgt ist, laut Aussage von Ulrich Kelber eine anderslautende Formulierungshilfe vorgelegt wurde. In dieser lautete die fragliche Bestimmung noch: „Die Teilnahme an Angeboten nach Absatz 2 und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden.“ Weil hier noch eine vorherige Einwilligung vorgesehen war, habe seine Behörde zu diesem Punkt keine Stellungnahme abgegeben, so Kelber. Es sehe deswegen danach aus – so die Einschätzung von „Telepolis“ – als sei der Aufsichtsbehörde absichtlich eine anderslautende Formulierungshilfe vorgelegt worden, um wegen eines Verstoßes der Norm gegen die DS-GVO einen Widerspruch durch den Bundesbeauftragten zu verhindern.

Im Interview mit „Telepolis“ machte Kelber jedoch deutlich, dass durchaus noch Handlungsmöglichkeiten seiner Behörde bestünden. Werde hier ein Verstoß gegen die DS-GVO festgestellt, könnten entsprechende Datenverarbeitungen durch die Krankenkassen mit entsprechenden Anordnungen unterbunden und Veränderungen der Datenverarbeitung angewiesen werden. Im Zweifel würde dir Frage der Rechtmäßigkeit der Norm durch den EuGH geklärt werden. Dabei verweist Kelber auch auf die Möglichkeiten, die den Versicherten selbst zur Verfügung stehen: Beschwerden über die Verarbeitungen bei der für ihre Krankenkasse zuständige Aufsichtsbehörde sowie Bestreitung des Rechtswegs, notfalls bis zum Bundesverfassungsgericht.

Task Force zur Bearbeitung von Beschwerden gegen die Nutzung von Google- und Facebook-Services

7. September 2020

Auf gemeinsame Initiative von Deutschland und Frankreich hin gründete der Europäischen Datenschutzausschusses (EDSA) eine „Task Force“ zur einheitlichen Bearbeitung von Beschwerden gegen europäische Unternehmen, die Google Analytics und Facebook Services nutzen.

Hintergrund für das Vorgehen sind die 101 Beschwerde der NGO „noyb“ (non-of-you-business). Diese hat nach dem Schrems II Urteil des EuGH Beschwerden bei nationalen Datenschutzaufsichtsbehörden, darunter auch bei fünf Landesdatenschutzbehörden in Deutschland, eingelegt. Gegenstand der Beschwerden ist die Nutzung von Google Analytics und Facebook Connect durch europäische Unternehmen. Dem liegt wiederum die datenschutzrechtliche Frage zu Grunde, ob Google und Facebook über ihre Dienste personenbezogene Daten der Nutzer in die USA übermitteln dürfen. Davon hängt schlussendlich ab, ob europäische Unternehmen, die diese Dienste nutzen, datenschutzrechtliche Anforderungen einhalten.

Dazu sagte der BfDI Ulrich Kelber: „Der EDSA sendet mit der Task Force ein starkes Signal. Die entscheidende Frage, ob diese Google- und Facebook-Services das europäische Datenschutzrecht einhalten, kann jetzt endlich europaweit einheitlich beantwortet werden.

Ergebnisse des Konsultationsverfahrens zur Anonymisierung

1. Juli 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat die Ergebnisse des ersten öffentlichen Konsultationsverfahrens veröffentlicht. Thema ist die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche.

Zusammengefasst ist die Anonymisierung personenbezogener Daten auch im Telekommunikationssektor grundsätzlich möglich. Besonderes Augenmerk verdient dabei die Validität des eingesetzten Anonymisierungsverfahrens. Eine Verpflichtung zur unverzüglichen Löschung ist durch eine Anonymisierung erfüllbar, hier ist allerdings ein strengerer Maßstab anzulegen.

Dazu führte der BfDI aus: „Wir haben viele Stellungnahmen aus Wirtschaft und Wissenschaft, von Behörden und der Zivilgesellschaft erhalten. Die verschiedenen Ansichten spiegeln dabei die Komplexität des Themas wider. Nach Auswertung aller Beiträge veröffentlichen wir jetzt unser Positionspapier, um für mehr Rechtssicherheit bei den von mir beaufsichtigten Stellen zu sorgen. Ich bedanke mich bei allen, die sich an unserem ersten Konsultationsverfahren beteiligt haben.“

Im Februar diesen Jahres hat der BfDI das erste öffentliche Konsultationsverfahren eröffnet, bei dem Vertreter aus Politik, Wissenschaft, Wirtschaft, Gesellschaft und Verwaltung Stellung zu dem Thema beziehen konnten. Kernfragen waren u.a. ob die Anonymisierung personenbezogener Daten rechtfertigungsbedürftig ist und auf welche Rechtsgrundlage sie sich stützen lässt. Das Positionspapier und die eingegangenen Stellungnahmen sind auf der Website des BfDI abrufbar.

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Bundesdatenschutzbeauftragter lobt Corona-App, warnt aber auch

17. Juni 2020

Die geplante Corona-Tracing-App ist nach langer Entwicklungszeit und umfangreichen Diskussionen (wir berichteten) am gestrigen Dienstag (16.06.2020) für die Nutzung freigegeben worden. Nachdem sich der Bundesdatenschutzbeauftragte, Ulrich Kelber, bereits vor einigen Tagen zufrieden mit der gefundenen Lösung zeigte und die App aus Sicht des Datenschutzes als „solide“ bezeichnete, hat seine Behörde (BfDI) in einer Pressemitteilung nun ausführlicher Stellung bezogen.

Lob für Transparenz

Insgesamt sieht Kelber keine Gründe, die aus datenschutzrechtlicher Sicht gegen die Installation sprechen. Dabei sei insbesondere entscheidend, dass sowohl der Quellcode der App als auch die durchgeführte Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (durch welche potentielle Gefahren für die Rechte und Freiheiten der Nutzer ermittelt und mögliche Abhilfemaßnahmen festgelegt werden sollen) für die Öffentlichkeit zugänglich gemacht wurden. „Je transparenter das gesamte Projekt ist, umso mehr Vertrauen werden die Bürgerinnen und Bürger haben“, so Kelber.

Kritik an TAN-Verfahren

Trotz dieser ingesamt positiven Bewertung sieht der Bundesdatenschutzbeauftragte jedoch auch noch „Schwachstellen“, die von den zuständigen Behörden und Unternehmen angegangen werden müssten. Darunter falle insbesondere die Telefonhotline, durch welche der Nutzer eine TAN-Nummer erhält. Mittels dieser Nummer kann der Nutzer dann ein positives Testergebnis über die App melden. Durch diese zusätzliche Sicherheitsmaßnahme soll ein Missbrauch der App durch Meldung falscher Ergebnisse erschwert werden. Kelber sieht diese Lösung jedoch kritisch, weil so eben keine vollständig anonymisierte Nutzung der App möglich sei. Immerhin habe seine Behörde abwenden können, dass eine unangemessene Speicherung personenbezogener Daten aller Anrufer der Hotline stattfindet. Die zuständigen Behörden und Unternehmen müssten nun aber schnellstmöglich daran arbeiten, dass eine vollständig automatisierte Nutzung der App ermöglicht wird. Als zuständige Aufsichtsbehörde werde der BfDI dies überwachen und „alle Möglichkeiten der Datenschutz-Grundverordnung“ heranziehen, im Falle von auftretenden Mängeln somit auch entsprechend einschreiten.

Warnung an Dritte vor Einsichtnahmeversuchen

Schließlich spricht der Bundesdatenschutzbeauftragte in der Pressemitteilung noch eine Warnung an alle Personen, Unternehmen und Einrichtungen aus, die auf die Idee kommen könnten, sich durch Einsicht in die Corona App – und somit in die darin gespeicherten personenbezogenen Daten – darüber zu informieren, ob für die betroffene Person ein positives Testergebnis vorliegt oder nicht. Dabei handle es sich um eine Grenze, die nicht überschritten werden dürfe. Wörtlich sagte Kelber: „Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!“