Zum Stichtag des 13. Januar 2019 genehmigte die Bundesregierung den Landes- und Bundesstatistikbehörden die umfängliche Übermittlung und Zusammenziehung umfangreicher Meldeamtsdaten aller in Deutschland gemeldeten Menschen. Das mit Hilfe einer eilig durchgezogenen Änderung des „Zensusvorbereitungsgesetzes 2021“ (Einfügung des neuen § 9a) und mit der willfährigen Begründung „zu Testzwecken“.
Gegen diesen Vorgang gab es einen Eilantrag beim Bundesverfassungsgericht, der zwar abgelehnt worden ist, wobei die Karlsruher Richter aber in ungewöhnlicher Klarheit die Einlegung einer Verfassungsbeschwerde anregten, weil sie selber Bedenken und Klärungsbedarf am Vorgang haben. Diese Verfassungsbeschwerde wird in bälde eingereicht werden.
Davon unabhängig erscheint es merkwürdig, dass zu den immensen und heiklen Datenübertragungen, -verarbeitungen und -zusammenführungen, die in den Wochen nach dem 13. Januar 2019 bereits durchgeführt worden sind noch gar keine Datenschutzfolgeabschätzung gibt.
Zumindest mit Stand vom 22. Februar 2019 (!) schreibt das Statistische Bundesamt im Rahmen einer IFG-Anfrage auf die Frage „Wurde eine Datenschutz-Folgeabschätzung angefertigt?“ folgendes (Hervorhebungen durch uns):
Eine Datenschutz-Folgeabschätzung (DSFA) wird in Abstimmung mit der BfDI (Bundesbeauftragten für den Datenschutz und die Informationsfreiheit) durch die behördliche Datenschutzbeauftragte im Statistischen Bundesamt erarbeitet. Eine DSFA ist ein spezielles Instrument, mit dessen Hilfe die Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten beschrieben, bewertet und eingedämmt werden sollen. Der Inhalt der DSFA bestimmt sich nach Art. 35 Abs. 7 DS-GVO und enthält insbesondere zur Bewältigung der identifizierten Risiken geplante Abhilfemaßnahmen. Dabei handelt es sich um technische und organisatorische Maßnahmen der Informationssicherheit.
In anderen, weniger komplexen Worten ausgedrückt:
Erst holt man sich die Daten aller Bürger und Einwohner des Landes und hinterher schaut man dann, welche Risiken bei Datenübertragung, -speicherung und -verarbeitung bestanden (oder ggf. noch weiter bestehen). Für die „Abhilfe“ dürfte es dann zumindest in einigen wesentlichen Fällen aber zu spät sein: Das ist Datenschutz-Pfusch.