Datenschützer lehnen Pläne der Bundesregierung zu verwaltungsübergreifenden Personenkennzeichen ab

Die von der Bundesregierung geplanten verwaltungsübergreifenden Register und die Frage der Verantwortlichkeit innerhalb der Telematik-Infrastruktur waren Themen auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK), die am Donnerstag, den 12. September 2019, in Mainz stattfand.

Im Rahmen der Verwaltungsdigitalisierung plant die Bundesregierung, die in der Verwaltung geführten Register zu modernisieren und in diesem Zusammenhang einen einfacheren Zugang auf dort gespeicherte personenbezogene Daten von Bürgerinnen und Bürgern zu gewährleisten. In diesem Zusammenhang sollen verwaltungsübergreifende Personenkennzeichen bzw. Identifikatoren eingeführt werden. Die Datenschutzkonferenz lehnt dieses Vorhaben aus datenschutzpolitischen Gründen ab und äußert schwerwiegende datenschutzrechtliche und verfassungsrechtlichen Bedenken. Durch eine derartige Personenkennzeichnung könnten in den unterschiedlichen Registern personenbezogene Daten in großem Maße leicht kombiniert, verknüpft und zu einem umfassenden Persönlichkeitsprofil zusammengetragen werden. Zudem verweist die Datenschutzkonferenz darauf, dass das Bundesverfassungsgericht einer solchen Personenkennzeichnung enge Grenzen setzt, da diese sowohl das Recht auf informationelle Selbstbestimmung als auch das Persönlichkeitsrecht gefährde.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Kugelmann, betont: „Die Digitalisierung der Verwaltung ist mit Blick auf die einfacheren Zugangsmöglichkeiten für Bürger und Bürgerinnen grundsätzlich zu begrüßen. Die Einführung von Personenkennzeichen und die Möglichkeit, aus den in den Registern vorhandenen personenbezogenen Daten ein verwaltungsübergreifendes Profil zu erstellen, sind aber weder alternativlos noch in allgemeiner Form zwingend erforderlich. Sie laufen den Zielen  der Datenschutz-Grundverordnung zuwider und ebenso dem Schutz des Persönlichkeitsrechts in einer demokratischen und freiheitlichen Gesellschaft.“

Des Weiteren wurde in der Konferenz die datenschutzrechtliche Verantwortlichkeit innerhalb der Telematik-Infrastruktur (TI) thematisiert. Hier bestand seit längerer Zeit die Frage, ob entweder die Praxisbetreiber oder die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) für die „Konnektoren“ zwischen Praxen und TI datenschutzrechtlich verantwortlich sind. Die Datenschutzkonferenz vertritt die Auffassung, dass die gematik für die zentrale Zone der Telematikinfrastruktur datenschutzrechtlich alleinverantwortlich ist sowie mitverantwortlich im Sinne des Artikel 26 DS-GVO für die dezentrale Zone der TI. Die gematik ist verantwortlich für die Verarbeitung, insbesondere soweit diese durch die von ihr vorgegebenen Spezifikationen und Konfigurationen bestimmt wird.
Um in der Frage der Verantwortlichkeit Rechtssicherheit zu erlangen, appelliert die Datenschutzkonferenz an den Gesetzgeber, hier eine gesetzliche Regelung zu schaffen.

Entschließung Digitalisierung der Verwaltung

Beschluss zur Gematik

Beschluss zu OTT-Diensten