Der bayerische Datenschutzbeauftragte Thomas Petri kritisiert in seinem jüngsten Tätigkeitsbericht einen Punkt des neuen Digitalgesetzes des Freistaats, das zum Teil übertriebene Vorgehen der Sicherheitsbehörden und die Nutzung von Microsoft-Office-Software im öffentlichen Bereich.

Der bayerische Datenschutzbeauftragte Thomas Petri hat in einem Punkt erneut Bedenken zum Digitalgesetz des Freistaats angemeldet. Konkret geht es um die Einwilligung von Bürger*innen zur Weiterverarbeitung ihrer Daten beim Erstellen eines Nutzerkontos im Bayern-Portal. Die Regelungen ließen offen, ob die darin enthaltenen nutzerbezogenen Daten über den zugestimmten Zweck hinaus auch an andere Behörden weitergegeben werden dürfen. Aktuell funktioniere die Anmeldung nur mit einer „Blanko-Einwilligung“ zur weiteren Datennutzung, erläuterte Petri bei der Vorlage seines Tätigkeitsberichts 2021 im Rechtsausschuss. „Da würde ich mir mehr Differenzierung wünschen“, sagte er. Aus seiner Sicht müssten die Nutzer*innen eine „fortdauernde Entscheidungshoheit“ über die Verwendung ihrer Daten haben.

In der folgenden Debatte verwies der CSU-Abgeordnete Tobias Reiß auf Regelungen in Estland. Dort würden die Menschen ihre Daten einmal digital hinterlegen, könnten dann aber jederzeit nachverfolgen, welche Behörden zu welchem Zweck auf sie zugriffen. Auf die Frage Reiß’, ob dies auch eine Lösung für Bayern sein könnte, zeigte sich Petri skeptisch. Transparenz sei grundsätzlich gut, allerdings sammele sich auf diese Weise ein „riesiger Datenpool“ aus Vernetzungen an, wodurch die Bürger*innen für die Verwaltung „gläsern“ werden könnten. In einem kleinen Land wie Estland mit nur einer zentralen Verwaltungseinheit sei das, anders als im föderalen Deutschland, eine vernachlässigbare Folge.

An dieser Stelle hakte Petra Guttenberger (CSU) mit Blick auf die Einführung einer digitalen Gesundheitskarte nach. Deren Vorzüge würden aus ihrer Sicht durch den Datenschutz zunichte gemacht. In Estland seien auf der Karte personenbezogene Daten wie Allergien, Vorerkrankungen oder Medikation gespeichert, sodass Ärzt*innen und Sanitäter*innen im Notfall durch eine Abfrage sofort entsprechend reagieren könnten. Petri widersprach Guttenbergers Einschätzung. Die Einführung einer Gesundheitskarte scheitere nicht am Datenschutz, sondern am Fehlen einer bundeseinheitlichen Infrastruktur. „Wir haben in den Ländern und bei den Krankenkassen eine extrem heterogene IT-Landschaft“, erklärte Petri.

Viele Beschwerden wegen der Corona-Tests an Schulen

Insgesamt habe Corona seiner Arbeit im vergangenen Jahr erneut „den Stempel aufgedrückt“. Dabei sei es gelungen, datenschutzrechtliche Lücken und Fehler im Zuge der Test- und Impfkampagnen sukzessive zu schließen oder zu korrigieren. Im Jahresverlauf jedenfalls sei die Zahl der bei ihm eingegangenen Beschwerden deutlich zurückgegangen. So sei es gelungen, die ausführenden Test- und Impfbehörden für die datenschutzrechtlichen Grundsätze der Datenminimierung, Zweckbindung und Vertraulichkeit zu sensibilisieren. Keine Einwände äußerte Petri trotz zahlreicher Beschwerden gegen die Corona-Testreihen an Schulen. Diese richteten sich vor allem gegen die vor aller Augen durchgeführten Tests. Petri bezeichnete die Bedenken dagegen aus Datenschutzgründen „grundsätzlich nachvollziehbar“, doch stehe darüber die nicht von der Hand zu weisende Annahme, dass eine ordnungsgemäße Durchführung der Selbsttests in häuslicher Umgebung nicht gewährleistet werden könne.

Als „sehr sensiblen Fall“ griff Petri in seinem Bericht einen Vorgang aus dem Bereich der Sicherheitsbehörden heraus. So seien zwei Personen in die Staatsschutzdatei der Polizei aufgenommen worden, weil sie im Internet einen noch dazu kritischen Bericht des Bayerischen Rundfunks über eine prokurdische Demonstration mit einem „Like-Button“ versehen hatten. Hintergrund sei gewesen, dass in dem Beitrag kurz eine Fahne mit Ähnlichkeit zu einem verfassungsfeindlichen Emblem vorgekommen sei. Davon auf eine womöglich verfassungsfeindliche Gesinnung der Betroffenen zu schließen, sei sehr weit hergeholt. „Das darf nicht passieren“, betonte Petri, zumal ein Vermerk in der Staatsschutzkartei für die Betroffenen negative Folgen haben könne. Die Einträge seien auf seine Intervention von den betroffenen Polizeipräsidien gelöscht worden.

Weiterhin noch nicht vollständig ausgeräumt sind Petris Bedenken gegenüber Office-Anwendungen des Software-Herstellers Microsoft im öffentlichen Bereich. Diese ermöglichten weiterhin zum Teil die Übertragung sensibler Daten in Länder außerhalb der EU. „Da finden Datentransfers statt, die so nicht stattfinden dürften“, bilanzierte Petri. Erfreulicherweise seien die Verhandlungen mit Microsoft inzwischen weit gediehen, es zeichne sich eine Lösung der Problematik ab. „Nicht glücklich“ äußerte sich Petri über die Verlängerung der Aufbewahrungsfrist der Beihilfeunterlagen von Staatsbediensteten von zwei auf fünf Jahre. Diese enthielten oftmals hochsensible Gesundheitsdaten. Für die Beamt*innen bedeute die Neuregelung eine datenschutzrechtliche Schlechterstellung. (Jürgen Umlauft)