Datenschutz-News im September: Handelsregister online +++ US-Cloud-Anbieter pauschal unsicher? +++ E-Rezept kommt doch noch nicht +++ EuGH: Auch indirekte Rückschlüsse sind sensible Daten

Seit 1. August 2022 ist das deutsche Handelsregister online: So können z.B. GmbHs (endlich) online gegründet werden und man spart sich für allerlei Dienstleistungen den Gang zum Amt oder zum Notar. Das Justizministerium betont, dass die Ausgestaltung der Online-Verfahren die hohen Qualitätsstandards notarieller Beurkundungsverfahren wahre und die entsprechenden Gesetze im Rahmen der EU-Digitalisierungs-Richtlinien beschlossen wurden. So sind nunmehr auch Registerauszüge kostenlos und separate Bekanntmachungen nicht mehr notwendig – es genügt, auf www.handelsregister.de abrufbar zu sein.

Dort wurden alle Registerinhalte aus dem Handels-, Genossenschafts-, Vereins- und Partnerschaftsregister sowie der elektronisch verfügbaren Dokumente über das Gemeinsame Registerportal zusammengefasst – mit der Folge, dass dort nun allerhand sensible Daten kostenlos öffentlich einsehbar sind. (Bisher musste man einen Account anlegen und Gebühren im niedrigen zweistelligen Euro-Bereich je Anfrage entrichten.) Nun sind Geburtsdaten, Adressen, sogar Bankverbindungen und Unterschriften von Verantwortlichen aus Unternehmen und auch von Ehrenamtlichen in Vereinen einfach öffentlich auffindbar. Die Behörden haben es sich offenbar einfach gemacht – und die Daten, die sie hatten, eins zu eins veröffentlicht. Dies widerspricht dem Ziel der EU-Digitalisierungs-Richtlinie, Identitätsdiebstahl zu verhindern – denn genau dem wird so Tür und Tor geöffnet. Dass der Zweck Wirtschaftstransparenz hier die schutzwürdigen Interessen der Betroffenen übertrifft, darf bezweifelt werden.

Nach heftiger Kritik hat das Justizministerium nochmals klargestellt, warum welche Daten erhoben und veröffentlicht werden – aber auch angekündigt, das Ganze nochmals zu prüfen. Die zuständige Landesdatenschutzbehörde NRW verwies zudem auf Paragraf 10a des Handelsgesetzbuches, wonach das Portal „der Transparenz im Rechtsverkehr und der damit verbundenen Wirkungen gegenüber Dritten“ diene und daher „die Rechte nach der Datenschutzgrundverordnung grundsätzlich nur sehr eingeschränkt Anwendung“ finden würden. Vielleicht tut sich aber dennoch etwas.

In Richtung des anderen Extrems schlug kürzlich die Vergabekammer Baden-Württemberg aus: Demnach sollen Behörden in Ausschreibungen künftig US-amerikanische Cloud-Anbieter pauschal nicht mehr berücksichtigen, selbst wenn diese ihre Dienste über EU-Tochtergesellschaften mit europäischen Servern anbieten. Begründet wurde diese im Beschluss von Mitte Juli mit dem „latenten Risiko“, dass US-Behörden personenbezogene Daten abgreifen könnten, welches in Vertragsklauseln nicht hinreichend eingedämmt werden könne. Wenn diese Entscheidung Bestand hat, wären z.B. Amazon Web Services (AWS), Microsoft oder Google von der künftigen Zusammenarbeit mit deutschen Behörden kategorisch ausgeschlossen.

Aber sogar der Landesdatenschutzbeauftragte Stefan Brink findet sie „rechtlich zweifelhaft“, da das bloße Risiko gleichgesetzt werde mit einem Szenario, in dem die Daten auch tatsächlich an die Behörden übermittelt würden – gegen solche Zugriffsrisiken könnten ja wirksame Gegenmittel über technisch-organisatorische Maßnahmen eingesetzt werden, die jedes Risiko ausschließen würden. Auch die Europäische Kommission nutzt AWS, und das Statistische Bundesamt setzt für den Zensus 2022 auf die Dienste des US-Anbieters Cloudflare. Die Entscheidung ist noch nicht rechtskräftig – in nächster Instanz entscheidet das Oberlandesgericht Karlsruhe.

Zum 1. September sollte eigentlich das E-Rezept starten. Die Idee: Anstatt auf Papier stellt der Arzt Rezepte sekundenschnell per Mausklick aus, und die landen dann beim Patienten in einer App, mit der er sich die benötigten Medikamente in der Apotheke abholen kann. Der muss dafür nicht mal mehr in die Praxis kommen. Viele Apotheken sind startklar – aber haben Sie schon mal von dieser App gehört? Selbst wenn, ist das Einloggen nicht gerade einfach: Man benötigt eine spezielle sechsstellige Nummer von seiner Gesundheitskarte und eine zusätzliche PIN von der Krankenkasse. Um die PIN zu bekommen, muss man in einer weiteren App auch noch ein Video-Ident-Verfahren durchlaufen.

Weil das wohl etwas kompliziert ist, wollte die Modellregion Schleswig-Holstein den Patienten ihr Rezept einfach per E-Mail zuschicken. Aber E-Mails sind ja bekanntlich so sicher wie eine Postkarte, daher hat die Landesdatenschutzbeauftragte das untersagt und die Kassenärztliche Vereinigung das E-Rezept erst einmal ausgesetzt. Nun läuft es wohl darauf hinaus, dass man anstatt des bisherigen Rezepts beim Arzt einen QR-Code ausgedruckt bekommt, diesen dann zur Apotheke trägt und wie gewohnt einlöst. So geht Digitalisierung im Jahre 2022 … nicht.

Und zu guter Letzt sei noch das Urteil des EuGH vom 1. August erwähnt – verhandelt wurde ein Fall aus Litauen: Hier veröffentlicht die Ethikkommission per Gesetz auf ihrer Homepage persönliche Daten von Menschen, die Behörden leiten, die mit öffentlichen Mitteln finanziert werden, u.a. auch den Namen ihrer Ehepartner, deren Job(s) und Zuwendungen über 3000 Euro. Sinn und Zweck ist es, Korruption vorzubeugen – auch in Deutschland gab es mit Patricia Schlesinger und Jens Spahn ja kürzlich Fälle in dieser Richtung.

Inwieweit ist also eine Veröffentlichung von personenbezogenen Daten erforderlich, um das Ziel der Antikorruption und Transparenz zu verfolgen? Im konkreten Fall hat der Leiter der litauischen Umweltbehörde die Abgabe der „Erklärung über die persönlichen Interessen“ verweigert, weil er dort den Namen seines Ehemannes hätte angeben müssen. Damit wäre klar, dass er schwul ist – und seine sexuelle Orientierung müsse er nach Artikel 9 der DSGVO nicht offenlegen. Die Richter gaben ihm recht: Auch indirekte Rückschlüsse aus den sensiblen Daten sind demnach sensible Daten und der EuGH bekräftigt die „weite Auslegung“ dieses Begriffs.

Auf der anderen Seite stellt der EuGH jedoch auch klar, dass die Korruptionsbekämpfung in der EU von großer Bedeutung ist und dass bei künftigen Fällen insbesondere die Korruptionsdichte des einzelnen betroffenen Landes sowie die Stellung des Betroffenen und die Verantwortung im Umgang mit öffentlichen Mitteln berücksichtigt werden muss. Somit handelt es sich nicht um ein pauschal auf jeden Fall anwendbares Urteil.