Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.
Kommt es nach der ePA bald zum nächsten Notfall? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Isravel Raj
Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Eine Kaskade an Problemen
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
EUDI-Wallet: Fehler, die sich wiederholen
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Sichere Kanäle versus signierte Daten
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. – Alle Rechte vorbehalten Johanna Wittig
Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.
Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.
Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.
„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“
netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?
Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.
In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.
netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?
Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.
Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.
netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?
Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.
Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.
„Es gibt im Omnibus auch Aspekte, die ich begrüße“
Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.
Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.
netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?
Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.
netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.
Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.
netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?
Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.
Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.
Wo eine Reform ansetzen sollte
netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.
Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.
netzpolitik.org: Was fehlt Ihnen?
Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?
Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.
Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.
netzpolitik.org: Sondern?
Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.
netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?
Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.
Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.
Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.
netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.
Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.
Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.
„Eine Verpflichtung wäre eine großer Schritt“
netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?
Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.
Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.
Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.
„Hundertprozentige Sicherheit gibt es nicht“
netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?
Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.
Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.
Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.
netzpolitik.org: Das war ja mal anders.
Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.
netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?
Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.
Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.
„Für eine patientenztentrierte ePA ist es noch nicht zu spät“
netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?
Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.
Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.
Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.
Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.
„Das würde meine Behörde und mich sehr schmerzen“
netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.
Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.
Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.
netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.
Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.
Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?
netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.
Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.
Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.
Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.
netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?
Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.
Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Janik Besendorf glaubt: Das BKA hat Fotos von ihm genutzt, um damit Software für Gesichtserkennung zu testen. Deshalb hat er heute eine Klage eingereicht. Er will, dass sich die Behörde „in Zukunft an geltendes Recht hält“.
Janik Besendorf will nicht, dass das BKA mit seinem Gesicht Biometriesysteme testet. – Alle Rechte vorbehalten Privat
Im Oktober 2018 nahm die Polizei Janik Besendorf fest. Vorwurf: Hausfriedensbruch. Es folgte eine erkennungsdienstliche Behandlung. Vier Fotos wurden von ihm erstellt: Porträt, linkes und rechtes Profil sowie ein Ganzkörperfoto. Direkt danach durfte er gehen, der Vorwurf wurde kurz darauf fallengelassen. Doch die Bilder sind bis heute im Polizeisystem gespeichert.
Im Jahr 2019 hat das BKA schließlich 4,8 Millionen Porträtfotos von rund drei Millionen Personen benutzt, um vier verschiedene Systeme zur Gesichtserkennung zu testen. Das umfasste fast alle damals verfügbaren Bilder und deshalb vermutlich auch die von Besendorf. Der Datenschutzaktivist geht davon aus, dass es dafür keine Rechtsgrundlage gab. Das BKA gab gegenüber der Datenschutzaufsicht an, dass die Bilder zu wissenschaftlichen Zwecken genutzt worden seien, was nach dem BKA-Gesetz erlaubt wäre. Janik Besendorf sagt: „Die dürfen Forschung machen, aber nicht Marktforschung!“
Das BKA setzt seit 2007 ein Gesichtserkennungssystem mit dem Kürzel GES ein. „Die Erkennungsleistung des Systems wurde über die Jahre durch Updates des Algorithmenherstellers kontinuierlich verbessert, sodass das GES zu einem unverzichtbaren Hilfsmittel bei der Identifikation unbekannter Personen geworden ist“, schrieb das BKA 2017 in einer internen Mitteilung. Um zu sehen, ob das aktuell genutzte System eine wettbewerbsfähige Erkennungsleistung liefert, sollte es mit am Markt erhältlichen Systemen getestet werden. „Es gilt, die Frage zu beantworten, ob dem BKA noch das effektivste Gesichtserkennungssystem zur Verfügung steht“, heißt es in der genannten Mitteilung weiter.
„Ich sehe eine Gefahr“
Zuerst hatte Besendorf sich bei der Datenschutzaufsicht über die mutmaßliche Nutzung seines Fotos beschwert, die hat die Beschwerde abgewiesen. Unterstützt vom Chaos Computer Club reichte er nun gemeinsam mit seiner Anwältin Beata Hubrig Klage vor dem Verwaltungsgericht Wiesbaden ein. Besendorf will feststellen lassen, dass die Verwendung seines Bildes – und damit auch aller anderen Bilder – rechtswidrig war. „Damit sich das BKA in Zukunft an geltendes Recht hält, also nur unternimmt, wofür es eine Rechtsgrundlage gibt. Schließlich geht es um Grundrechte. Es passiert leider immer häufiger, dass Polizeibehörden losgehen und irgendwas testen, obwohl gar nicht klar ist, ob es dafür eine Rechtsgrundlage gab. Ich sehe eine Gefahr darin, wenn die Polizei immer mehr technische Mittel benutzt“, sagt der hauptberufliche IT-Sicherheitsexperte.
Besendorf weiß, dass seine Fotos in der Polizeidatenbank INPOL-Z liegen, weil er das BKA danach gefragt hat. Wie man solche Auskünfte beantragt, erklärte er gemeinsam mit seiner Anwältin in einem Vortrag beim 38C3. Dort zeigten die beiden auch, wann man die Löschung von Daten aus Polizeidatenbanken verlangen kann. Besendorf will mit dem Löschantrag zu seinen Fotos allerdings noch warten, bis das Verfahren abgeschlossen ist, damit keine Beweise zerstört werden.
Den Test der Gesichtserkennungssysteme hat das Fraunhofer-Institut für Graphische Datenverarbeitung (Fraunhofer IGD) durchgeführt. Besendorf fürchtet, dass das BKA dafür seine Fotos an das Fraunhofer-Institut gegeben hat. Das BKA schrieb der Datenschutzbehörde allerdings: „Die Bilddaten haben das BKA nicht verlassen und standen Mitarbeitenden des Fraunhofer IGD auch nicht zur Einsichtnahme zur Verfügung.“ An anderer Stelle hieß es allerdings, Fraunhofer-Mitarbeitende seien – unter BKA-Aufsicht – im Rechnerraum gewesen.
Besendorf sagt: „Dass die Daten nicht an das Fraunhofer-Institut weitergegeben wurden, ist bislang eine Behauptung, vor Gericht wird sich das BKA bekennen müssen.“ Besendorf ist auch gespannt, welche Rechtsgrundlage das BKA für den Test angeben wird.
Die den Test betreffende Kommunikation zwischen der Datenschutzaufsicht und dem BKA, die netzpolitik.org vorliegt, zeigt, wie sehr das BKA die Datenschutzbehörde auflaufen lässt. Es antwortet auf mehrere Nachfragen nicht, lässt Fristen für geforderte Erklärungen verstreichen, übersendet zunächst nur eine Variante des Abschlussberichts, in der die Namen der Hersteller nicht genannt sind.
Mögliche Rechtsgrundlagen für den Eingriff
Als eine mögliche Rechtsgrundlage für die Speicherung nennt die Datenschutzbehörde in einem Schreiben an Besendorf vom Februar 2025 Artikel 6 der DSGVO. Demnach ist eine Datenverarbeitung unter anderem erlaubt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Angeblich gäbe es ein erhebliches öffentliches Interesse: die mögliche Senkung der Falscherkennungsrate bei der Gesichtserkennung. „Die potenziellen Folgen des polizeilichen Einsatzes einer fehlerbehafteten Gesichtserkennungssoftware für die betroffenen Personen, die von der Stigmatisierung über die Rufschädigung bis hin zu Diskriminierung und strafrechtlicher Verfolgung reichen können, können im Einzelfall gravierend sein“, schreibt die Datenschutzbehörde.
Das steht allerdings im Widerspruch zu dem, was das Amt im Juni 2022 an das BKA schrieb. Damals hieß es, der entsprechende Artikel des Bundesdatenschutzgesetzes sei aufgrund seiner Unbestimmtheit und angesichts der Eingriffsintensität keine taugliche Rechtsgrundlage für die Verarbeitung einer Vielzahl biometrischer Daten. „Hätte der Gesetzgeber hierfür eine Rechtsgrundlage schaffen wollen, hätte er – entsprechend den verfassungsrechtlichen Anforderungen – konkrete Vorschriften zu Zweck, Anlass und Verfahrenssicherungen geschaffen“, heißt es weiter.
Das BKA selbst nannte gegenüber der Datenschutzbehörde als Rechtsgrundlage für die Nutzung der Fotos für den Test einen Paragrafen des BKA-Gesetzes, der die Datenverarbeitung zum Zweck der wissenschaftlichen Forschung erlaubt. Die Datenschutzbehörde hält diesen Paragrafen hier allerdings für nicht anwendbar: „Vorliegend ging es um eine vergleichende Untersuchung der Leistungsfähigkeit marktreifer Gesichtserkennungssysteme. Neue Erkenntnisse, die den Fortschritt der Wissenschaft zu bewirken vermögen, sind nicht ersichtlich.“
USB-Anschlüsse deaktiviert, Festplatten zerstört
Das BKA hat sich, wie es der Datenschutzaufsicht schreibt, im Rahmen des Tests viel Mühe beim Schutz der personenbezogenen Daten gegeben: Das passwortgeschützte Computersystem, das dafür genutzt wurde, sei in einem abgeschlossenen Raum aufgebaut worden, zu dem nur das Projektteam Zugang gehabt habe. Einen Anschluss ans Internet oder an andere polizeiliche Systeme zur Datenerfassung habe es nie gegeben. Die Fotos seien auf einer verschlüsselten Festplatte transportiert worden. Und nachdem die Fotos eingelesen wurden, seien die USB-Anschlüsse des Computersystems deaktiviert worden.
Die Fraunhofer-Mitarbeiter, die am Projekt mitwirkten, seien einer Sicherheitsüberprüfung unterzogen worden. Nur die Auswertung der Daten – ohne Bilder und personenbezogene Informationen – sei dem Fraunhofer-Institut zur Weiterbearbeitung in eigenen Räumen ausgehändigt worden. Nach Abschluss des Projekts seien alle Datenspeicher zerstört worden.
Der Abschlussbericht des Fraunhofer-Instituts zeigt, welches der Systeme am schnellsten und am besten Menschen erkannte, und auch, in welchen Fällen Menschen von keinem der Systeme auf Fotos erkannt werden konnten. Getestet wurden meist, aber nicht nur, Bilder aus erkennnungsdienstlichen Maßnahmen; darüber hinaus gibt es im Polizeisystem aber beispielsweise auch Fotos aus Observationen.
Die Programme versagten demnach bei Bildern von vermummten oder verschleierten Gesichtern, bei zu geringer Auflösung und zu geringem Kontrast sowie bei tief gesenktem Kopf. Welche Hersteller Produkte zu dem Test beisteuerten, hält das BKA geheim. Nach dem Test blieb es bei dem System zur Gesichtserkennung, das es auch zuvor schon verwendet hatte.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Das BKA-Gesetz war teilweise verfassungswidrig. Zu unklar waren die Regeln, wann Beschuldigte in Polizeidatenbanken gespeichert werden dürfen. Zu weit waren die Befugnisse, um mögliche Kontaktpersonen von Terrorverdächtigen zu überwachen. Doch die Neuregelung, die der Bundestag gestern verabschiedete, kann Fachleute nicht überzeugen.
Die Chefs von BKA und Innenministerium bei einer Pressekonferenz (Archivbild) – Alle Rechte vorbehalten IMAGO / IPON
Donnerstag spät abends hat die schwarz-rote Mehrheit im Bundestag zwei Gesetze verabschiedet, die das BKA-Gesetz ändern. Es geht dabei zum einen um vorsorgliche Datenspeicherung von Beschuldigten in der polizeilichen Datenbank INPOL und zum anderen um die Überwachung von Kontaktpersonen potenzieller Terrorist:innen.
Die bisherigen Vorgaben waren verfassungswidrig. Das hatte das Bundesverfassungsgericht letztes Jahr festgestellt und eine Änderungsfrist bis Juli gegeben. Es fehlten etwa klare Vorgaben, ab wann und wie lange Daten gespeichert werden dürfen. Anfang Juni verlängerte das Gericht die Frist bis zum 31. März 2026. Doch die Regierungsparteien hielten am ursprünglichen Zeitplan fest. Dabei äußerten Sachverständige in einer Anhörung am Montag deutliche Kritik.
Schnell, schnell – trotz Fristverlängerung
Einer der kritischen Sachverständigen ist Prof. Dr. Clemens Arzt von der Hochschule für Wirtschaft und Recht Berlin. Er bemängelt, dass weiterhin nicht klar geregelt ist, wann eine „vorsorgende Speicherung“ von Personendaten in Polizeidatenbanken erlaubt ist. Die im Gesetz formulierte Erlaubnis, wenn die Speicherung zur „Verhütung oder Verfolgung beitragen kann“, heiße nicht, dass diese auch erforderlich sei.
Arzt kommt zu dem Schluss: „Es drängt sich der Anschein auf, dass mit den eilig in diesem Gesetzgebungsverfahren vorgelegten Neuregelungsvorschlägen Zeit bis zur möglichen erneuten Beanstandung des Bundesverfassungsgerichts nach dem Ende dieser Legislaturperiode gewonnen werden soll.“ Das vorgelegte Gesetz sei „mit dem Grundrecht auf informationelle Selbstbestimmung nicht vereinbar“.
Auch die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider hatte einiges zu beanstanden. Bei der Überwachung von Kontaktpersonen etwa fehlt ein Passus, der ihre Intimsphäre schützt, den sogenannten Kernbereich privater Lebensgestaltung. In einem Gesetzentwurf der Vorgängerregierung, der wegen der geplatzten Koalition nicht mehr durch den Bundestag kam, war das noch berücksichtigt worden.
„Ausgleich zwischen Rechtsstaat und Polizei“
Specht-Riemenschneider riet in ihrer Stellungnahme daher dazu, die entsprechenden Regeln im BKA-Gesetz „aus einem Guss“ zu überarbeiten. Durch die Fristverlängerung des Bundesverfassungsgerichts sehe sie „keine zeitliche Dringlichkeit mehr“.
Die Regierungsfraktionen haben die Mahnungen der kurzfristig konsultierten Fachleute ignoriert. Christoph de Vries (CDU), parlamentarischer Staatssekretär im Innenministerium, betonte in seiner Rede im Bundestag, der Entwurf stelle „einen Ausgleich“ zwischen rechtsstaatlichen Anforderungen und Bedarfen bei der Polizeiarbeit dar. Die Verfügbarkeit von polizeilichen Daten dürfe nicht an Ländergrenzen Halt machen.
Die Gesellschaft für Freiheitsrechte, die gegen das alte BKA-Gesetz geklagt hatte, kündigte bereits Anfang Juni an, die neuen Gesetze zu prüfen und „gegebenenfalls erneut Verfassungsbeschwerde erheben“ zu wollen. Doch bevor die Regelungen gelten, muss zumindest das Änderungsgesetz zur Datenspeicherung noch den Bundesrat passieren. Widerstand aus den Ländern ist jedoch kaum zu erwarten.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
