Datenschutz im Jahr 2022: Neuer Schwung dank neuer Regierung?

Ob Corona-Management, Bildungspolitik oder öffentliche Verwaltung: Dass Deutschland bei der Digitalisierung hinterherhinkt, ist vielerorts offensichtlich und wird auch immer wieder durch Studien bestätigt. Oft muss dann der Datenschutz – ganz zum Missfallen des Bundesdatenschutzbeauftragten Ulrich Kelber – als Sündenbock für die lahmende Digitalisierung in Deutschland herhalten. Mit der neuen Bundesregierung haben wir nun auch die Chance auf eine neue Netzpolitik – schließlich wollen die Ampel-Parteien ja laut Koalitionsvertrag „Mehr Fortschritt wagen“.

Schauen wir uns also an, worauf man sich in dem Bereich im Koalitionsvertrag geeinigt hat. Zunächst rein quantitativ: Das Wort „Daten“ kommt auf den 177 Seiten 99 Mal vor, davon etwa 80 Mal im Bereich Datenschutz. Noch deutlich häufiger findet sich das Wort „digital“, das sich durch alle Themenbereiche des Vertrags zieht.

Nun qualitativ – in Auszügen:

Ein unabhängiges Expertengremium mit dem Namen „Freiheitskommission“ nimmt sich dem Dilemma Freiheit vs. Sicherheit an und soll künftig bei Sicherheitsgesetzen einbezogen werden. In einer Art Überwachungsgesamtrechnung sollen bestehende Gesetze gemeinsam hinsichtlich ihrer Auswirkungen auf Freiheit und Demokratie bis Ende 2023 evaluiert werden.

Die Vorratsdatenspeicherung wird nicht ganz abgeschafft, aber stärker eingeschränkt: Daten sollen rechtssicher, anlassbezogen und durch richterlichen Beschluss gespeichert werden können; eine „Login-Falle“ soll bei der Identifizierung helfen. Diensteanbieter sollen mitwirken und bei einem Anfangsverdacht IP-Adressen an die Behörden weiterleiten. Generell will die Ampel aber das Recht auf Anonymität im Netz wie auf der Straße gewährleisten. Zwar soll es keine flächendeckende Videoüberwachung geben, aber diese soll die Arbeit der Polizei an Kriminalitätsschwerpunkten ergänzen. Biometrische Erkennung im öffentlichen Raum sowie automatisierte staatliche Scoring-Systeme durch KI sind europarechtlich auszuschließen, heißt es im Koalitionsvertrag. (Bereits im November hat übrigens Facebook angekündigt, Gesichtserkennung weitgehend abzuschaffen, auch rückwirkend, und als Begründung anhaltende rechtliche Unsicherheiten in dem Bereich angeführt.)

Öffentliche Aufträge sollen in der Regel als Open Source beauftragt werden und es soll eine Cloud für die öffentliche Verwaltung entstehen. Es soll einen Rechtsanspruch auf Open Data geben. Gesetzgebungsverfahren sollen sich immer einem „Digitalcheck“ unterziehen. Außerdem soll online der aktuelle Status eines Gesetzesentwurfs eingesehen werden können. In Sachen IT-Sicherheit wird u.a. ein Recht auf Verschlüsselung angekündigt, ebenso ein „vertrauenswürdiges, allgemein anwendbares Identitätsmanagement“ – bei letzterem bleibt jedoch unklar, wie sich dies von der bisherigen eID-Strategie unterscheidet. Zudem soll die bereits laufende Registermodernisierung „verfassungsfest“ ausfallen.

Unternehmen, Staat, Wissenschaft und Zivilgesellschaft sollen Daten besser nutzen – und Datenschutz soll dabei nicht als Hindernis, sondern bei besserer und kohärenterer Umsetzung als Bestandteil einer zeitgemäßen Datenkultur verstanden werden. So soll der Staat unter „fairen und wettbewerbskonformen Bedingungen“ auch Zugang zu Daten von Unternehmen bekommen, sofern es für die Daseinsvorsorge erforderlich ist. Zu den weiteren konkret vereinbarten Punkten zählen, die bisher informelle Konferenz der Datenschutzbehörden von Bund und Ländern zu institutionalisieren (Vorteil: die Aufsichtsbehörden haben endlich einheitliche Bewertungsmaßstäbe und es gibt einen zentralen Ansprechpartner für die EU), Beschäftigtendatenschutzregeln einzuführen sowie Anonymisierungstechniken zu fördern und De-Anonymisierung strafbar zu machen (wie es die Datenethikkommission schon 2019 empfohlen hatte). Upload-Filter sollen zumindest auf den Prüfstand.

Die EU bringt mit dem Digital Services Act (DSA) derzeit ein neues, umfassendes Regelwerk auf den Weg: Plattformen sollen bei strafbaren Inhalten künftig strenger in die Pflicht genommen werden. Auch die Ampel will sich stärker einsetzen gegen digitale Gewalt. Betroffene sollen zum Beispiel leichter Auskunft über mutmaßliche Täter bekommen, Richter sollen Accounts sperren lassen können. Das Netzwerkdurchsetzungsgesetz und weitere Regeln will die Koalition grundlegend überarbeiten. Dabei formulieren sie aber auch rote Linien: „Allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht lehnen wir ab. Anonyme und pseudonyme Online-Nutzung werden wir wahren.“

Im Gesundheitswesen soll künftig allen gesetzlich Versicherten die elektronische Patientenakte automatisch und „DSGVO-konform“ zur Verfügung gestellt werden, sofern sie nicht aktiv widersprechen. DSGVO-konform ist die elektronische Patientenakte im Augenblick noch nicht, zumindest dem Bundesdatenschutzbeauftragten zufolge. Ein Gesetz zur Nutzung von Gesundheitsdaten soll regeln, wie Daten auch aus der elektronischen Patientenakte in der Forschung genutzt werden können. Forschungsdaten sollen allgemein der „öffentlichen und privaten Forschung“ einfacher zur Verfügung stehen.

Apropros DSGVO: In diesem Jahr soll es erste Zertifizierungen von digitalen Produkten und Dienstleistungen nach der Datenschutzgrundverordnung geben. Anhand solcher Zertifikate wissen Verbraucher dann, ob IT-Produkte und -Dienstleistungen – extern geprüft – den Anforderungen der DSGVO genügen. Zwar legt die DSGVO die Grundlagen für ein einheitliches europäisches Akkreditierungs- und Zertifizierungsverfahren fest – aber auch fünf Jahre nach Verabschiedung im Europäischen Parlament gibt es noch keine akkreditierte Zertifizierungsstelle. Zwar behaupten viele Unternehmen „DSGVO-compliant“ zu sein, doch einen rechtssicheren Nachweis dafür gibt es bisher noch nicht. Im Laufe des Jahres sollen die ersten Stellen den langwierigen Akkreditierungsprozess der Deutschen Akkreditierungsstelle GmbH (DAkkS) und der unabhängigen Datenschutzaufsichtsbehörden durchlaufen haben.

Und dann steht in diesem Jahr auch mal wieder ein Zensus an: Eigentlich war der schon im letzten Jahr EU-weit fällig, wurde aber aufgrund der Pandemie um ein Jahr verschoben. Für die Bevölkerungszählung werden vor allem Daten aus Verwaltungsregistern genutzt; diese wiederum werden durch eine Stichprobe ergänzt und mit einer Gebäude- und Wohnungszählung kombiniert. Die Mehrheit der Bevölkerung muss also keine Auskunft leisten. Der Zensus soll bei der Ermittlung helfen, wie viele Menschen in Deutschland leben, wie sie wohnen und arbeiten, damit Bund, Länder und Gemeinden verlässliche Basiszahlen für Planungen haben.

Die letzte Vollerhebung fand in der DDR 1981 und in Westdeutschland 1987 statt. Dort war sie eigentlich für 1983 geplant, musste aufgrund eines beim Datenschutz wegweisenden Urteil des Bundesverfassungsgerichts aber um ganze vier Jahre verschoben werden. Der erste gesamtdeutsche Zensus – ebenfalls verwaltungsregister- und stichprobenbasiert – fand dann erst 2011 statt und brachte so einige Ungereimtheiten ans Licht. 2022 gilt nun erstmals die DSGVO und anders als noch 2011 gilt statt Papierfragebögen „Online First“. Die erhobenen Daten werden grundsätzlich anonymisiert und verallgemeinernd ausgewertet. Es geht nicht um die individuellen Lebensverhältnisse oder Einstellungen der Einwohner. Ziel und Zweck ist es ausschließlich, eine verlässliche Datenbasis für weitere Planungen zu erhalten.

Am Anfang des Jahres stehen auch bei Ihnen vielleicht ein paar Planungen an. Der Datenschutz gerät da oft in Vergessenheit. Sollte er aber natürlich nicht – bei Fragen sprechen Sie mich gern an ;-)