Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)

es ist Prof. Ulrich Kelber am Tisch sitzend abgebildet
Quelle: Jens Gyarmaty

Der BfDI – wer bin ich und vor allem: wie viele?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist eine unabhängige, eigenständige oberste Bundesbehörde, die – nomen est omen – für den Datenschutz und die Informationsfreiheit in Deutschland zuständig ist.

Die Bezeichnung „Bundesbeauftragter“ ist zugegebenermaßen ein wenig irreführend. Denn sie vermittelt das Bild einer einzelnen Person, die – allein auf weiter Flur – im ganzen Land versucht, Datenschutz und Informationsfreiheit durchzuboxen. Wir können Sie beruhigen: Dem ist nicht so. Wie in jeder anderen vom Bund eingerichteten Behörde auch, ist die Arbeit des BfDI „Teamwork“. Hunderte von Mitarbeiterinnen und Mitarbeiter engagieren sich hier Tag für Tag in Sachen Datenschutz und Informationsfreiheit. Dennoch ist der Titel des Bundesdatenschutzbeauftragten immer auch mit einer natürlichen Person verbunden. Sie wird von der Bundesregierung vorgeschlagen, vom Deutschen Bundestag gewählt und steht der Behörde offiziell vor. Die Amtszeit für die Bundesbeauftragte oder den Bundesbeauftragten beträgt fünf Jahre. Danach kann sie oder er einmal wiedergewählt werden. Seit dem 7. Januar 2019 liegt das Amt in den Händen von Ulrich Kelber.

Wenn im Folgenden die Aufgaben und Herausforderungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgestellt werden, sprechen also „Wir über uns“ und nicht „Ich über mich“ – auch wenn der Einfachheit halber immer mal von „dem Bundesbeauftragten“ die Rede ist.

Wie kommen wir zu unserer Doppelfunktion Datenschutz und Informationsfreiheit?

Datenschutz

Einen Bundesbeauftragten für den Datenschutz gibt es bereits seit dem 1. Januar 1978. Er hatte von Anfang an eine Sonderstellung inne, die es ihm ermöglichte, auch zum Beispiel Bundesministerien zu kontrollieren. Trotzdem unterstand er der Rechts- bzw. Dienstaufsicht der Bundesregierung und des Bundesministeriums des Innern. Seinen Rang als oberste Datenschutzbehörde erhielt der Bundesbeauftragte nach einer Änderung des Bundesdatenschutzgesetzes (BDSG) am 1. Januar 2016. Seitdem stehen wir unter niemandes Aufsicht mehr und überwachen gemäß § 9 des BSDG die Einhaltung des Datenschutzes in den öffentlichen Stellen des Bundes und in Unternehmen, die Telekommunikations- und Postdienstleistungen erbringen. Wir sorgen also dafür, dass Bürgerinnen und Bürgern nicht in ihrem Grundrecht auf Datenschutz beeinträchtigt werden und gegenüber Staat, Organisationen und Unternehmen autonom bleiben.

Informationsfreiheit

Seit Inkrafttreten des Informationsfreiheitsgesetzes (IFG) am 1. Januar 2006 ist der Bundesbeauftragte für den Datenschutz auch Bundesbeauftragter für Informationsfreiheit. Diese Doppelfunktion macht durchaus Sinn. Denn eine Behörde, die Bürgerinnen und Bürger vor einer unrechtmäßigen Nutzung ihrer Daten schützt, ist bestens geeignet, das Vertrauen zwischen Staat und Bürgern zu stärken. Und genau dieses Ziel verfolgt das IFG: Bürgerinnen und Bürgern allgemeines Einsichtsrecht in Behördenunterlagen zu gewährleisten und dadurch das Handeln der öffentlichen Verwaltung transparenter und bürgernäher zu machen. Jede Person, die ihr Grundrecht auf Informationszugang nach dem IFG als verletzt ansieht, kann uns in unserer Funktion als Bundesbeauftragter für Informationsfreiheit um Hilfe bitten. Seit März 2020 ist der BfDI auch für Beratung und Kontrolle bezüglich des Zuganges zu Umweltinformationen bei den öffentlichen Stellen des Bundes zuständig.

Wer sind die Verantwortlichen im deutschen Datenschutz?

Die Zuständigkeiten im Bereich Datenschutz werden in der Bundesrepublik Deutschland dem föderalen Prinzip entsprechend verteilt. Bestimmte Aufgaben sind dem Bund, andere den Ländern zugewiesen – und zwar nicht nach dem Motto „Wer will, wer hat noch nicht?“, sondern nach Maßgabe des Grundgesetzes. Das führt dazu, dass der BfDI zwar formal die oberste Behörde in Sachen Datenschutz ist, die Kontrolle des Datenschutzes in der Privatwirtschaft aber den jeweils zuständigen Landesdatenschutzbeauftragten obliegen. Dieser überwacht und berät außerdem die Landesbehörden „seines“ Bundeslandes.

Der Bundesbeauftragte für den Datenschutz kann sich also voll und ganz auf Bundesbehörden und andere öffentliche Stellen sowie Telekommunikations- und Postdienstunternehmen konzentrieren. Allerdings „mischt“ er auch bei den Sicherheitsüberprüfungen nach dem Sicherheitsüberprüfungsgesetz (SÜG) mit. Sie betreffen Personen, die mit bestimmten sicherheitsempfindlichen Tätigkeiten betraut werden und Zugang zu Verschlusssachen erhalten sollen, die vertraulich, geheim oder streng geheim sind. Durch seine Aufsicht über das Bundesamt für Verfassungsschutz, das Bundesministerium für Wirtschaft und Klimaschutz (BMWi) und das Bundesamt für den Militärischen Abschirmdienst (BAMAD) gewährleistet der BfDI, dass diese Überprüfungen datenschutzkonform ablaufen.

Um sicherzustellen, dass der Bundes- und die Landesdatenschutzbeauftragten alle an einem Strang ziehen, kommen sie regelmäßig in der „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder“(DSK) zusammen. Sie befassen sich mit aktuellen Entwicklungen im Datenschutz und verfassen Stellungnahmen dazu.

Für die Einhaltung des Datenschutzes in größeren Unternehmen sorgen Betriebliche Datenschutzbeauftragte, die wiederum vom Landesdatenschutzbeauftragten überwacht und beraten werden.

Und die Europäische Union (EU)? Mischt in Form der europäischen Datenschutzgrundverordnung (DSGVO) sowieso mit. Die seit 25. Mai 2018 geltende Verordnung zielt darauf ab, den Datenschutz in Europa zu vereinheitlichen und verlässliche Datenschutzstandards in allen Mitgliedstaaten zu gewährleisten. Funktion und Befugnisse sämtlicher Datenschutzbeauftragten in unserem Land gehen auf Art. 51 Abs. 1 der DSGVO zurück.

Worin bestehen unsere Aufgaben im Einzelnen?

Als oberste Datenschutzbehörde nehmen wir folgende, unter anderem in der DSGVO, im BDSG und im IFG fest gelegten, Aufgaben wahr:

  • Wir überwachen die Einhaltung der DSGVO, des BDSG und sonstiger Vorschriften über den Datenschutz in unserem Zuständigkeitsbereich und setzen die Einhaltung dieser Vorschriften durch.
  • Wir sensibilisieren die Öffentlichkeit über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten und klären sie darüber auf.
  • Wir beraten den Deutschen Bundestag, den Bundesrat, die Bundesregierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Datenschutz.
  • Wir sensibilisieren die Verantwortlichen in unserem Zuständigkeitsbereich für die Pflichten, die ihnen aus der DSGVO, dem BDSG und sonstigen Vorschriften über den Datenschutz entstehen.
  • Wir bearbeiten Beschwerden betroffener Personen oder Beschwerden von Datenschutzverbänden.
  • Wir arbeiten eng mit anderen Aufsichtsbehörden in Deutschland und Europa zusammen, tauschen mit ihnen Informationen aus und leisten gegenseitig Amtshilfe.
  • Wir sind Mitglied des Europäischen Datenschutzausschusses (EDSA).
  • Außerdem zeigen wir den Behörden und öffentlichen Stellen des Bundes auf, wie sie die Anforderungen der Informationsfreiheit erfüllen können.
  • Wir informieren die Bürgerinnen und Bürger über ihre Rechte nach dem IFG und des UIG. Wir unterstützen sie aber auch dabei, ihre Rechte gegenüber den verantwortlichen Stellen durchzusetzen (Ombudsfunktion).
  • Wir kontrollieren die Einhaltung des IFG und diverser anderer Gesetze und Verordnungen im Bereich des Datenschutzes und der Informationsfreiheit.
  • Über unsere Webseite, aktive Öffentlichkeitsarbeit und regelmäßige Tätigkeitsberichte halten wir Politik und Öffentlichkeit über alle wichtigen Ereignisse und Entwicklungen auf dem Laufenden.
  • Wir setzen uns für die Bürgerinnen und Bürger ein, indem wir datenschutzfreundliche Technologien fördern, den Datenschutz und die Informationsfreiheit in der Praxis beachten, in der Öffentlichkeit ein breites Problembewusstsein schaffen und einen hohen Datenschutzstandard auf europäischer und internationaler Ebene unterstützen.

Für all diese Aufgaben sind wir bestens gerüstet: Durch unsere Beratungs- und Kontrollfunktion haben wir nicht nur einen umfassenden Einblick in die Belange des Datenschutzes und der Informationsfreiheit, wir verstehen auch die Zusammenhänge.

Wir sind uns der Verantwortung, die uns aus dem unabhängigen Status des BfDI, seiner Wahl durch den Bundestag und seiner Teilnahme an der politischen Meinungsbildung erwächst, vollkommen bewusst. Wir stehen sozusagen für den Datenschutz und die Informationsfreiheit in Deutschland. Gleichzeitig wollen wir aber auch auf europäischer und globaler Ebene unseren Beitrag leisten, denn Datenschutz und Informationsfreiheit sind in einer vernetzten Welt nun mal internationale Aufgaben.

Warum veröffentlichen wir Tätigkeitsberichte?

Transparenz ist keine Einbahnstraße. Wir fordern daher nicht nur transparentes Regierungshandeln, sondern machen auch unsere Arbeit „durchsichtig“. Am ausführlichsten geschieht das in den Tätigkeitsberichten, die wir jährlich veröffentlichen. Sie werden dem Deutschen Bundestag vorgelegt, der darüber berät und sich anschließend zu den zentralen datenschutzrechtlichen und -politischen Themen äußert.

Da Sie hier auf unserer Webseite sind, gehen wir davon aus, dass auch Sie sich für diese Themen interessieren. Wenn Sie tiefer in unsere Aufgabenstellungen einsteigen wollen, empfehlen wir Ihnen einen Blick in unseren letzten Tätigkeitsberichte.

Im Bereich Dokumente veröffentlichen wir außerdem Stellungnahmen an verschiedene Institutionen, insbesondere den Deutschen Bundestag, Ergebnisse von IFG-Anfragen oder Rundschreiben an verschiedene Zielgruppen. Denn wir wollen mit gutem Beispiel vorangehen und ein modernes Informationsmanagement zwischen Bevölkerung und Staat ermöglichen.

Welche Behörden und Einrichtungen beraten wir?

Zahlen sagen manchmal mehr als 1000 Worte. Deshalb haben wir einmal zusammengetragen, wie viele Behörden, Einrichtungen und sonstige Institutionen und Unternehmen wir derzeit (Stand: Juni 2021) kontrollieren und beraten:

28 Oberste Bundesbehörden (22 Oberste Behörden + sechs Gerichte) mit ihren Behörden und Einrichtungen des Geschäftsbereiches, 228 Auslandsvertretungen des Auswärtigen Amtes, 149 bundesunmittelbare Sozialversicherungsträger und deren Spitzenverbände sowie 303 gemeinsame Einrichtungen gemäß § 50 Abs. 2 SGB II (Jobcenter), 26 Landesfinanzbehörden einschließlich der 535 Finanzämter und Teile der 11.000 kommunalen Steuerämter, ca. 3.500 Telekommunikations- und ca. 1.000 Postdienstleister sowie ca. 60.000 nicht lizenzierte Postdienstleister.

Wie sieht unsere Arbeit in der Praxis aus?

Damit Sie sich ein noch besseres Bild von unserer Tätigkeit machen können, stellen wir Ihnen im Folgenden einige Beispiele aus unserem Arbeitsalltag vor:

Die Verordnung zu den „Apps auf Rezept“

Haben Sie auch schon einmal eine Gesundheitsapp verordnet bekommen? Als Patient erwarten Sie natürlich zu Recht, dass Ihre Daten vertraulich bleiben und nicht etwa zur Erstellung eines Gesundheitsprofils missbraucht werden. Um dies sicherzustellen, müssen die Regelungen in der Digitale-Gesundheitsanwendungen-Verordnung DiGAV nachgebessert werden. Denn bislang müssen sich Nutzer auf die „Datenschutz-Selbsterklärung“ der Hersteller Digitaler Gesundheitsanwendungen (DiGA) verlassen. Und das kann hier nicht reichen. Vielmehr müssten Nutzer schon vorab umfassend darüber aufgeklärt werden, welche Personen und/oder Einrichtungen Zugriff auf ihre Gesundheitsdaten erhalten. Leider sind weder in der DiGAV noch im Digitale Versorgung Gesetz (DVG) Ansprechpartner für Betroffenenrechte vorgesehen, die im konkreten Verwendungszusammenhang umfassend Auskunft geben könnten. Wir tun alles, damit zukünftige Gesetze und Verordnungen zur weiteren Digitalisierung des Gesundheitswesens diese Defizite beheben. Zu diesem Zwecke setzen wir uns unter anderem mit den bundesunmittelbaren Sozialversicherungsträgern (Krankenkassen) auseinander.

Das Digitale-Familienleistungen-Gesetz

Die Digitalisierung der Anträge auf die Gewährung von Familienleistungen wie Elterngeld, Kindergeld oder Kinderzuschlag leitet eine umfassende Verwaltungsdigitalisierung ein. Wir haben die Erarbeitung des Digitale-Familienleistungen-Gesetz vom 3. Dezember 2020 kritisch begleitet und zum Beispiel darauf geachtet, dass die Digitalisierung freiwillig und eine Alternative zur – immer noch möglichen – Papierantragstellung ist und dass sie die DSGVO-konforme, „informierte“ Einwilligung der Antragsteller voraussetzt. Natürlich werden wir auch ein kritisches Auge darauf haben, wie die Umsetzung des Gesetzes in der Praxis vonstattengeht. Das Gesetz schafft außerdem die Rechtsgrundlagen dafür, dass die Datenstelle der Rentenversicherung (DSRV) die Entgeltdaten der Antragsteller von Elterngeld direkt bei den Arbeitgebern abfragt und diese anschließend an die Elterngeldstellen weiterleitet. Dafür muss noch eine Rahmenvereinbarung getroffen werden, die auch die Modalitäten der Auftragserteilung durch die Antragsteller regelt. Auch hier sind wir beratend dabei.

Passenger Name Records

Die Richtlinie (EU) 2016/681 vom 27. April 2016 über die Verwendung von Fluggastdatensätzen zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität (PNR-RL) verpflichtet die Mitgliedstaaten, anlasslos Fluggastdaten von Luftfahrtunternehmen zu erheben, abzugleichen und über fünf Jahre zu speichern, um auch eine rückwirkende Auswertung zu ermöglichen. Dies gilt übrigens für alle Fluggäste, auch für Sie. Wir kritisieren den Umfang der Verarbeitung von Fluggastdaten durch Polizeibehörden seit Jahren. Inzwischen sind in mehreren Mitgliedstaaten, unter anderem in Deutschland, Verfahren gegen diese Richtlinie anhängig. Denn sie bildet theoretisch die rechtliche Grundlage für Millionen von Kontrollen: Nach dem automatisierten Sofortabgleich der übermittelten Passagierdaten mit Fahndungsdatenbanken oder Mustern werden die „Treffer“ manuell überprüft, bestätigte Treffer anschließend an die zuständigen Behörden zum Zwecke der näheren Überprüfung übermittelt. Selbst wenn einzelne Fälle die Wirksamkeit und Effizienz dieser Praxis belegen, stellt sich die Frage, ob diese Form der Massendatenverarbeitung und Datenvorratshaltung verhältnismäßig ist. Daher haben wir zusammen mit den anderen europäischen Datenschutzaufsichtsbehörden im EDSA die EU-Kommission erneut aufgefordert, Nachbesserungen an der Rechtslage vorzunehmen.

Neugestaltung des Informationsverbundes FIU 2.0

Die Zentralstelle für Finanztransaktionsuntersuchungen, auch Financial Intelligence Unit (FIU) genannt, plant die Neugestaltung ihrer IT-Landschaft. Zur Bewältigung der stetig wachsenden Anzahl eingehender Verdachtsmeldungen sollen dabei künftig auch Methoden bzw. Algorithmen aus dem Bereich der Künstlichen Intelligenz (KI) eingesetzt werden. Aufgrund der damit verbundenen erheblichen Risiken für die Rechte und Freiheiten natürlicher Personen haben wir unsere Beteiligung eingefordert. So konnten wir frühzeitig beratend tätig werden und bei den Landesfinanzbehörden auf datenschutzrechtliche Mängel hinweisen.

Künstliche Intelligenz

Künstliche Intelligenz (KI) ist schon heute für viele gesellschaftliche Bereiche bedeutsam. Da sie potenziell auf alle Lebensbereiche große Auswirkungen haben kann, sind klare Vorgaben und Regelungen erforderlich. Sie müssen sicherstellen, dass KI datenschutzkonform entwickelt und eingesetzt wird und sich außerdem am Gemeinwohl orientiert. Um an diesem Gestaltungsprozess mitwirken zu können, engagieren wir uns aktiv in nationalen und internationalen Gremien, die sich mit KI-Entwicklung befassen.

Videoidentverfahren

Wussten Sie, dass Verfahren zur Videoidentifizierung risikobehaftet sind? Wo ein sehr hohes Vertrauensniveau erreicht werden muss – zum Beispiel im Gesundheitswesen – sind sie datenschutzrechtlich sogar unzulässig. Denn sie können den in Art. 9 der DSGVO geforderten sehr hohen Schutzbedarf nicht gewährleisten. Es gibt immer öfter täuschend echt wirkende Audio- und auch Videomanipulationen (sogenannte Deepfakes), mit denen auch Videoidentifizierungen manipuliert werden können. Daher lehnen wir bei Identifizierungen mit der Schutzbedarfsstufe „sehr hoch“ Videoidentifizierungsverfahren ausnahmslos ab. Diese Grundsatzentscheidung des BfDI wirkt in viele Bereiche hinein. Wenn Sie wissen wollen, in welchen Bereichen die Schutzbedarfsstufe „sehr hoch“ gilt, können Sie sich zum Standard-Datenschutzmodell informieren.

Was macht eigentlich die Zentrale Anlaufstelle (ZASt)?

Die Zentrale Anlaufstelle koordiniert die grenzüberschreitende Zusammenarbeit der Datenschutzaufsichtsbehörden des Bundes und der Länder mit den anderen Mitgliedstaaten der EU, dem EDSA und der Europäischen Kommission. Beim BfDI angesiedelt, organisatorisch aber von ihm getrennt, handelt sie im Interesse aller deutschen Aufsichtsbehörden. Sie unterstützt diese bei der Formulierung gemeinsamer Standpunkte in europäischen Angelegenheiten und kommuniziert die Ergebnisse an die EU. Darüber hinaus hat sie weitere unterstützende Aufgaben. So kontrolliert sie beispielsweise die Einhaltung von Vorschriften und Fristen für europäische Verfahren nach DSGVO. Außerdem nimmt sie als „National Entry Point“ Anfragen europäischer Aufsichtsbehörden in Verfahren zur Genehmigung verbindlicher interner Datenschutzvorschriften entgegen. Gegenüber Bürgerinnen und Bürgern, Behörden und Unternehmen wird die ZASt aber nicht tätig.