Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Interview Bundesdatenschützer Kelber wirft Spahn Versäumnisse beim digitalen Impfpass vor

Deutschlands oberster Datenschützer schließt Verzögerungen beim digitalen Impfpass nicht aus. Im Interview übt er nicht nur Kritik am Gesundheitsminister, sondern auch an Schulen und Firmen.
25.05.2021 - 13:03 Uhr Kommentieren
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) rügt die Bundesregierung für ihr Planungen beim digitalen Impfnachweis. Quelle: dpa
Ulrich Kelber

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) rügt die Bundesregierung für ihr Planungen beim digitalen Impfnachweis.

(Foto: dpa)

Berlin Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, hat Bundesgesundheitsminister Jens Spahn (CDU) Versäumnisse bei der Planung des digitalen Impfpasses in Deutschland vorgeworfen. „Die Bundesregierung ist eigentlich dazu verpflichtet, uns frühzeitig zu beteiligen“, sagte Kelber dem Handelsblatt. Es sei daher „unverständlich“, dass seiner Behörde bislang noch nicht alle notwendigen Details zu dem Projekt vorlägen. „Fest steht: Datenschutz am Anfang zu berücksichtigen ist billiger und geht schneller, als am Ende darauf zu stoßen, dass bei der Entwicklung an einer Stelle falsch abgebogen wurde.“

Skeptisch sieht Kelber den Zeitplan des Ministers, der vorsieht, dass der Pass Ende Juni verfügbar sein soll. „Grundsätzlich ist der Datenschutz nicht der entscheidende zeitkritische Faktor, wenn die Technik von Beginn an richtig aufgesetzt wird“, sagte der Datenschützer. Nachbesserungen seien zum Teil auch im laufenden Betrieb möglich.

Er müsse sich aber an Recht und Gesetz halten. „Würde ich jetzt auf eine technische Lösung stoßen, die völlig unverhältnismäßig das Recht auf informationelle Selbstbestimmung einschränkt, müsste ich ein Stoppsignal geben“, betonte Kelber. Dieses Risiko seien das Gesundheitsministerium und das Robert Koch-Institut (RKI) „bewusst“ eingegangen.

Zuversichtlich zeigte sich Kelber mit Blick auf die Einführung eines digitalen europäischen Impfpasses. „Das EU-Zertifikat besagt, dass die Lösungen so ausgeführt sein müssen, dass die Nachweise in allen Mitgliedstaaten überprüft werden können.“ Alles andere sei national. „Das halte ich für umsetzbar.“

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Kelber betonte, dass sowohl der nationale als auch der europäische Impfnachweis diskriminierungsfrei sein müssten. „Es muss also immer auch eine Papiervariante möglich sein.“ Gleichwohl sei eine digitale Lösung mit nur den notwendigen Daten datenschutzfreundlicher als ein Papier-Impfpass, der noch viele andere Daten beinhalte.

    Lesen Sie hier das komplette Interview:

    Herr Kelber, blockiert der Datenschutz die Pandemiebekämpfung? Oder wie ein Länderkollege von Ihnen ironisch fragte: Hat der Datenschutz 70.000 Todesfälle verursacht?
    Datenschutz und Gesundheitsschutz gehen gleichzeitig, so wie auch Gesundheitsschutz und sonstige Freiheitsrechte zusammen denkbar sind. Ich habe aber festgestellt, dass das Thema gerne mit anderem Tenor durch die Talkshows und Leitartikel getrieben wird. Selbst wenn wir Behauptungen widerlegen, werden sie wiederholt. Da gibt es die Behauptung, der Datenschutz sei gar nicht eingeschränkt worden oder in Niedersachsen hätten Ältere wegen des Datenschutzes nicht angeschrieben werden können. Es ist aber nicht nur ein Nachplappern. Es soll ablenken von anderen Versäumnissen.

    In welchen Punkten wurde der Datenschutz denn eingeschränkt?
    Wer einkaufen will, muss seine Kontaktdaten hinterlassen. Viele Daten werden jetzt von privaten Stellen gesammelt und an staatliche Stellen weitergegeben, zum Beispiel bei Flügen. Bei der Verarbeitung von Infektionsdaten wurden Einschränkungen gemacht. Das alles ist in Ordnung. In der Pandemie müssen immer Grundrechte gegeneinander abgewogen werden. Nie kann eines absolut stehen. Aber wenn behauptet wird, das sei nicht der Fall, dann lässt mich das am gesunden Menschenverstand oder am guten Willen zweifeln.

    Warum wird es häufig auf den Datenschutz geschoben, wenn Impfen, Testen und Kontaktverfolgung nicht funktionieren?
    Weil es so schön einfach ist! Der Gesundheitsausschuss-Vorsitzende zum Beispiel hat jetzt auf die Frage, warum der digitale Impfpass so spät kommt, den Datenschutz vorgeschoben. Wir haben eine Woche vorher zum ersten Mal überhaupt einige Details der geplanten technischen Lösung vorgestellt bekommen. Bis zum heutigen Tag liegen noch nicht alle notwendigen Details vor. Der Datenschutz hat also zu null Prozent zu einer Verzögerung beigetragen. Aber zugeben mag keiner, dass der digitale Impfnachweis spät angefangen und ausgeschrieben wurde. Es ist dann aber zutiefst unfair und gefährlich, dafür den Datenschutz zu diskreditieren.

    Ist es auch unfair, wenn die Bundesregierung Sie nicht rechtzeitig kontaktiert?
    Es ist unverständlich. Die Bundesregierung ist eigentlich dazu verpflichtet, uns frühzeitig zu beteiligen. Fest steht: Datenschutz am Anfang zu berücksichtigen ist billiger und geht schneller, als am Ende darauf zu stoßen, dass bei der Entwicklung an einer Stelle falsch abgebogen wurde. Es ist also äußerst misslich, wenn die Behörde mit Expertise nicht zu einem frühen Zeitpunkt angesprochen wird.

    Derzeit setzen viele große Hoffnungen in den geplanten digitalen Impfpass, damit Besuche von Restaurants, Schwimmbädern, Kinos oder Konzerten problemlos wieder möglich werden. Bis Ende Juni soll der Pass verfügbar sein. Halten Sie das unter Datenschutzgesichtspunkten für realistisch?
    Das wüsste ich dann, wenn ich alle Informationen darüber kenne. Ich weiß nicht, wie weit der Stand der Planung und Durchführung ist. Ich habe einige Angaben, wann die Tests zu den vorhandenen technischen Lösungen beginnen sollen.

    Aber der Datenschutz wird den Zeitplan nicht ausbremsen?
    Das lässt sich so abstrakt nicht beantworten. Da ich noch nicht alle vorgesehenen Lösungen kenne, kann ich es nicht einschätzen. Grundsätzlich ist der Datenschutz nicht der entscheidende zeitkritische Faktor, wenn die Technik von Beginn an richtig aufgesetzt wird. Und Nachbesserungen sind zum Teil auch im laufenden Betrieb möglich. Ich muss mich aber an Recht und Gesetz halten. Würde ich jetzt auf eine technische Lösung stoßen, die völlig unverhältnismäßig das Recht auf informationelle Selbstbestimmung einschränkt, müsste ich ein Stoppsignal geben. Dieses Risiko sind das Gesundheitsministerium und das Robert Koch-Institut bewusst eingegangen.

    Wann erwarten Sie konkret Details?
    Bei dem ersten Gespräch zum Thema haben wir schon einige Fragen gestellt, die wir beantwortet haben wollen. Ich hoffe, dass die Antworten in diesen Tagen kommen. Gerade auch, wenn die ersten Tests von Komponenten beginnen, sollten diese Aspekte geklärt sein. Da die Programmierung erfolgt ist, sollte das auch möglich sein.

    Welche Fragen sind das?
    Ganz grundlegend: Welche Daten werden wo verarbeitet? Dann zum Beispiel: Wie ist die Programmierung erfolgt? Wie sieht das Datenmodell aus? Und welche Gedanken waren bei der Datenschutzfolgenabschätzung leitend?

    Wie sollen die Daten überhaupt digitalisiert werden? Die Hausarztpraxen wehren sich ja bereits gegen die Bürokratie, die auf sie zukommen könnte.
    Wir bewerten ausschließlich, ob es sich um eine akzeptable Lösung mit Blick auf Datenschutz und Datensicherheit handelt. Da wäre sowohl eine Lösung durch öffentliche Stellen als auch eine durch Impf- und Testzentren möglich, wenn sie die Daten, die sie ohnehin haben, verarbeiten. Natürlich dürfte auch ein niedergelassener Arzt solche Daten in eine Softwarelösung einfließen lassen. Das ist datenschutzrechtlich möglich.

    Kritik an Schulen wegen mangelnder Digitalisierung

    Neben dem nationalen digitalen Impfpass soll es auch ein digitales europäisches Impfzertifikat geben. Über eine Schnittstelle sollen die nationalen Nachweise aufgesetzt werden können. Funktioniert das so, dass die Daten sicher sind?
    Es soll wohl weitgehend mit dezentralen Lösungen gearbeitet werden. Die optimale Lösung ist ja ohnehin, dass ich auf meinem Handy etwas habe, etwa einen QR-Code, der dann – auch offline – abgefragt und mit dem Ausweis bestätigt werden kann, so wenig Daten wie möglich werden dem Abfragenden angezeigt. Das EU-Zertifikat besagt, dass die Lösungen so ausgeführt sein müssen, dass die Nachweise in allen Mitgliedstaaten überprüft werden können. Alles andere ist national. Das halte ich für umsetzbar.

    Was ist mit Bürgern, die kein Smartphone haben?
    Der Impfnachweis, auch der europäische, muss diskriminierungsfrei sein. Es muss also immer auch eine Papiervariante möglich sein. Übrigens ist eine digitale Lösung mit nur den notwendigen Daten datenschutzfreundlicher als ein Papier-Impfpass, in dem noch viele andere Daten drinstehen. Gleiches gilt für digitale und analoge Nachweise für Genesene und Geimpfte.

    Was kann beim digitalen Impfpass gegen Missbrauch getan werden? Die Papier-Version ist ja nicht fälschungssicher.
    Mich interessiert vor allem das Problem, dass die Daten nicht in die Hände unbefugter Dritter kommen. Das System muss also so gemacht sein, dass überhaupt keine Datenbestände entstehen, etwa Bewegungsprofile Geimpfter allein durch Überprüfungen an verschiedenen Orten. Darauf achte ich. Spannenderweise gibt es datenschutzfreundliche Lösungen, die auch gut gegen Fälschungsversuche sind.

    Können denn die Leute darauf hoffen, dass sie im Sommer problemlos in den Urlaub fahren können mit einem europäischen digitalen Impfpass?
    Das müssen Sie Gesundheitsminister Spahn und RKI-Chef Wieler fragen.

    Kollegen von Ihnen in den Ländern haben in der Coronazeit Schulen mit Strafen gedroht, weil sie bestimmte digitale Hilfsmittel wie Microsoft Teams oder Zoom eingesetzt haben, die als datenschutzunsicher gelten. Bei Eltern hat das teilweise ziemlichen Unmut ausgelöst. Bei Ihnen auch?
    Ich habe selbst drei Kinder im Homeschooling und sehe, welche zum Teil großen Nöte die Schulen haben. Das ist aber auf große Versäumnisse der Landesregierungen zurückzuführen, die es nicht geschafft haben, vernünftige Tools voranzutreiben. Auch während der Pandemie ist es nicht gelungen, vorhandene digitale Hilfsmittel so aufzusetzen, dass sie für alle ruckelfrei zur Verfügung stehen. Es ist ja keine Hexerei, dafür Kapazitäten in Serverfarmen anzumieten.

    Und wie sehen Sie die Sache mit den angedrohten Bußgeldern?
    Ich erinnere mich an einen Fall in Thüringen. Hier bin ich meinem Kollegen zu Seite gesprungen. Es ging darum, dass unsichere Tools eingesetzt wurden, obwohl auch sichere Tools zur Verfügung standen. In solchen Fällen halte ich es für gerechtfertigt, ein Bußgeld anzudrohen.

    Der nächste Ärger ist schon programmiert, wenn viele Schulen im nächsten Schuljahr bestimmte Videokonferenzsysteme, etwa Microsoft Teams, aus Datenschutzgründen nicht mehr nutzen dürfen. Was dann?
    Es gibt Alternativen. Microsoft könnte auch sein Geschäftsmodell ändern.

    Die Vorbehalte gegen Microsoft und andere US-Anbieter von Onlinetools resultieren ja daraus, dass es immer noch keine Nachfolgeregelung der vom Europäischen Gerichtshof (EuGH) gekippten EU-US-Datenschutzvereinbarung „Privacy Shield“ gibt. Welche Folgen hat das Urteil?
    Das Ende von Privacy Shield ist eine Herausforderung für Behörden, für Unternehmen und die Datenschutzaufsichtsbehörden. Eine Nachfolgeregelung wird es nur geben können, wenn die USA sich bewegen. Europa wird nicht akzeptieren können, dass Europäer in den USA als Bürger zweiter Klasse im Datenschutz behandelt werden. Bislang ist dort grundlegender Rechtsschutz nicht möglich, weil anlasslose Überwachung durch die Geheimdienste vorgeschrieben wird.

    Was ist die Lösung?
    Die EU-Kommission wird in Kürze weiterentwickelte Standardvertragsklauseln vorlegen. Die werden bestimmte Formen des Datentransfers zwischen der EU und den USA erlauben, zusammen mit anderen Schutzmaßnahmen. Im Gespräch mit Microsoft oder Facebook habe ich klargemacht: „Ihr tut Dinge, die nicht unbedingt notwendig sind für die Funktionalität eurer Produkte, von denen ihr wisst, dass sie nicht mit der Datenschutzgrundverordnung übereinzubringen sind." Die Konzerne müssen sich nun überlegen, ob sie den Markt aufgeben an Alternativprodukte oder ob sie für diesen Markt datenschutzkonforme Produkte im Cloud-Bereich oder für die sozialen Medien anbieten wollen. Europa sollte seine Werte nicht aufgeben.

    Grafik

    Legt die Problematik in gewisser Weise auch die Versäumnisse der europäischen Digitalpolitik der Vergangenheit offen, weil wir uns mangels guter EU-Alternativen in die Abhängigkeit von marktbeherrschenden US-Unternehmen begeben müssen?
    Ja. Die europäische Digitalpolitik hat versäumt gegenzusteuern.

    Wäre das europäische Cloud-Projekt Gaia-X die richtige Antwort auf die momentane Situation?
    Das Projekt Gaia-X zum Aufbau einer sicheren Dateninfrastruktur für Europa kann eine Chance für die Zukunft sein. Aber nur, wenn das Projekt Wind unter die Flügel bekommt. Und wenn wir bei der strikten Einhaltung unseres Rechts und unserer Werte bleiben.

    Kritik an Firmen wegen „Transusigkeit“ beim EU-Datenschutz

    Vor rund drei Jahren ist die EU-Datenschutzgrundverordnung in Kraft getreten. Die Kritik an den Regeln hält sich hartnäckig. Können Sie nachvollziehen, dass viele Unternehmen immer noch unsicher sind, was die Umsetzung betrifft?
    Wir müssen jede Kritik ernst nehmen. Bemerkenswert finde ich eine Umfrage des IT-Verbands Bitkom. Danach haben einige Unternehmen gesagt, dass ihnen die Umsetzung der Regeln auch bei der Optimierung von anderen IT-Prozessen geholfen hat. Das zeigt mir, dass die Sicht auf die DSGVO durchaus positiv sein kann, wenn man sich der Herausforderung stellt. Bei den Unternehmen, die die Digitalisierung und den dafür notwendigen Datenschutz verschlafen haben, hoffe ich, dass sie in ihren sonstigen Kundenbeziehungen nicht auch so transusig sind – sonst mache ich mir ernsthafte Sorgen um die Konkurrenzfähigkeit dieser Unternehmen.

    Aber der Digitalverband Bitkom bemängelt auch, dass Unternehmen wegen existenzbedrohender Bußgelder teilweise auf Innovationen verzichten oder wichtige Digitalisierungsvorhaben verzögert würden. Bremst der Datenschutz die Digitalisierung?
    Könnte man die Geschichte von den ausufernden Bußgeldern, die mehrmals schon widerlegt wurde, einfach mal sein lassen, lieber Bitkom? Es ist langweilig, es ist das Gegenteil von innovativ, und es ist auch das Gegenteil davon, mal konkret darüber zu sprechen, was man in der Aufsichtspraxis und der Rechtssetzung ändern könnte.

    Was meinen Sie?
    Ich glaube, dass man bei Informationspflichten kleine und mittlere Unternehmen entlasten könnte. Bei den Grundrechten der Bürgerinnen und Bürger wird es aber keine Abstriche geben.

    Grafik

    Dann müssten die Regeln aber auch mal entsprechend angepasst werden.
    Es gab bereits eine Evaluierung, eine weitere wird folgen. Wir haben Vorschläge für Rechtsanpassungen gemacht. Ich bin für einen Verzicht auf bestimmte Informationspflichten, wenn ohnehin erwartet werden kann, welche Datenverarbeitung stattfindet. Wir sollten außerdem die Schwächen der DSGVO beim Profiling und Scoring ausbügeln. Klare Vorgaben für die maschinelle Datenauswertung, um Personen oder Unternehmen zu bewerten, sind bisher von der Wirtschaftslobby verhindert worden. Das ist aber heute der zentrale Punkt, bei dem das Grundrecht auf informationelle Selbstbestimmung europaweit missachtet wird.

    Kritisiert wird vom Bitkom auch, dass die vielen Aufsichtsbehörden in Deutschland die Regeln häufig unterschiedlich auslegen. Der Verbandspräsident Achim Berg spricht von „regionaler Kirchturmpolitik im Datenschutz“, die beendet werden müsse. Muss die Datenschutzaufsicht neu geordnet werden?
    Wir müssen als Datenschutzbehörden in Deutschland harmonisierter arbeiten. Es kann nicht sein, dass hierzulande die Behörden unabhängiger sind als die europäischen Behörden untereinander. Deswegen werden wir Vorschläge machen, wie unsere Anwendung der DSGVO deutschlandweit verbindlicher und damit auch verlässlicher wird.

    Ihre Behörde hat im vergangenen Jahr kein Bußgeld verhängt. Haben Sie die Herausforderungen durch die Pandemie milde gestimmt, oder was war der Grund?
    Nur im Bereich Telekommunikation und Post dürfen wir Datenschutzverstöße mit Bußgeldern sanktionieren. Zuletzt habe ich 2019 ein Bußgeld gegen den Telefonanbieter 1&1 verhängt, weil die Authentifizierungsverfahren unzureichend waren. Derzeit laufen Kontrollen der Wettbewerber. Hier wird bald entschieden, ob Bußgelder ausgesprochen werden. Bisher mussten wir auch im Bereich der Telekommunikation unsere Erkenntnisse an die Bundesnetzagentur abtreten, die dann entschied, ob sie Bußgelder verhängt. Das wird sich jetzt ändern.

    Was ist mit den gesetzlichen Krankenkassen?
    Leider dürfen wir gegen gesetzliche Krankenkassen keine Bußgelder verhängen. Ich halte das für falsch, weil die Kassen durchaus in einem wirtschaftlichen Wettbewerb stehen. Es wäre wichtig, wenn bestimmte Verhaltensweisen bußgeldsanktioniert sind, etwa wenn Druck auf einzelne Mitglieder ausgeübt wird, die in der Lohnfortzahlung sind.

    Herr Kelber, vielen Dank für das Interview.

    Mehr: Justizministerin Lambrecht will mehr Freiheiten für alle – nicht nur für Geimpfte und Genesene.

    Startseite
    Mehr zu: Interview - Bundesdatenschützer Kelber wirft Spahn Versäumnisse beim digitalen Impfpass vor
    0 Kommentare zu "Interview : Bundesdatenschützer Kelber wirft Spahn Versäumnisse beim digitalen Impfpass vor"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%