gematik Brain

Dieses Projekt ist eine private, nicht-offizielle Zusammenstellung. Die Inhalte wurden mit Hilfe von KI auf Basis öffentlich zugänglicher Quellen (fachportal.gematik.de, gematik.de) erstellt. Keine Verbindung zur gematik GmbH. Fehler möglich. Beiträge willkommen.

BfDI

4 Min. Lesezeit 19 VerknüpfungenWachsendDieser Artikel ist solide, aber noch in Entwicklung

BfDI

Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) ist die unabhängige oberste Bundesbehörde für Datenschutz und Informationsfreiheit in Deutschland. Er überwacht die Einhaltung des Datenschutzrechts bei Bundesbehörden und ist die zuständige Datenschutzaufsichtsbehörde für Telekommunikations- und Postdienstleister.

Erklärt für Einsteiger

Stell dir vor, jemand muss aufpassen, dass die Bundesbehörden mit deinen persönlichen Daten korrekt umgehen und dass du bei Behörden Auskunft zu Dokumenten bekommst, die über dich existieren. Das macht der BfDI. Er ist unabhängig von der Regierung, damit er auch Ministerien oder staatliche Stellen kritisieren kann. Im Gesundheitsbereich spielt er eine wichtige Rolle: Er prüft, ob die elektronische Patientenakte und das Gesundheitsdatennetz den Datenschutzregeln entsprechen.

Überblick

Der BfDI ist eine eigenständige, weisungsfreie Bundesbehörde mit Sitz in Bonn. Er wird vom Deutschen Bundestag gewählt und hat eine fünfjährige Amtszeit. Die Behörde beschäftigt rund 180 Mitarbeiterinnen und Mitarbeiter.

Amtsinhaberin (Stand März 2026): Prof. Dr. Louisa Specht-Riemenschneider (am 16. Mai 2024 vom Bundestag gewählt, Amtsantritt: 3. September 2024). Sie hat im März 2026 ihren Rücktritt aus gesundheitlichen Gründen angekündigt.

Rechtsgrundlage

Der BfDI handelt auf Grundlage von:

  • DSGVO (Datenschutz-Grundverordnung): Art. 51 ff. DSGVO (unabhängige Aufsichtsbehörde)
  • BDSG (Bundesdatenschutzgesetz): §§ 8 ff. BDSG (nationale Ausgestaltung)
  • IFG (Informationsfreiheitsgesetz): Zugang zu amtlichen Informationen des Bundes

Zuständigkeit

Der BfDI ist zuständig für:

  • Alle öffentlichen Stellen des Bundes (Ministerien, Bundesbehörden, Bundesgerichte)
  • Unternehmen, die Post- oder Telekommunikationsdienstleistungen erbringen (nach §§ 29, 30 BDSG)
  • Nicht zuständig für Länder und Kommunen (dort: Landesdatenschutzbehörden)

Technische Details

Rolle im Kontext der Telematikinfrastruktur

Die Telematikinfrastruktur berührt den Zuständigkeitsbereich des BfDI auf mehreren Ebenen:

  • Bundesbehörden als TI-Akteure: Die gematik (mehrheitlich im Bundesbesitz), das BfArM und das BMG fallen als Bundesbehörden unter die Aufsicht des BfDI.
  • Telekommunikationsdienstleister: Betreiber von TI-Diensten (z.B. KIM-Anbieter, VPN-Zugangsdienstleister) können der BfDI-Aufsicht unterliegen, sofern sie als Telekommunikationsdienstleister eingestuft werden.
  • ePA und GDNG: Der BfDI hat sich wiederholt zur ePA und zur Sekundärnutzung von Gesundheitsdaten nach dem GDNG geäußert.

BfDI und ePA

Interesse compliance

Hersteller und Betreiber von TI-Diensten (KIM-Anbieter, VPN-Zugangsdienstleister) können der BfDI-Aufsicht unterliegen, wenn sie als Telekommunikationsdienstleister eingestuft werden. Die gematik als mehrheitlich bundeseigene Gesellschaft steht ebenfalls unter BfDI-Aufsicht. Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO sind für alle TI-Anwendungen erforderlich, die Gesundheitsdaten verarbeiten.

Die BfDI Louisa Specht-Riemenschneider äußerte folgende Positionen zur ePA:

  • Die Opt-out-Regelung (alle erhalten automatisch eine ePA, sofern sie nicht widersprechen) ist eine politische Entscheidung, über die der BfDI keine Aufsichtsbefugnis hat.
  • Technische Datenschutzfragen, z.B. ob die Zugriffskontrolle granular genug ist und ob Versicherte ohne Smartphone gleichwertige Kontrolle haben, sind Gegenstand der BfDI-Arbeit.
  • Der BfDI forderte Nachbesserungen bei der Authentisierung und den Datenschutzeinstellungen der ePA.

BfDI und Forschungsdatennutzung

Beim GDNG hat der BfDI eine besondere Wächterfunktion: Das Gesetz erlaubt die Sekundärnutzung von Gesundheitsdaten (aus ePA und GKV-Abrechnungen) für Forschungszwecke. Der BfDI prüft, ob die Anforderungen an Pseudonymisierung und Datensicherheit beim Forschungsdatenzentrum Gesundheit (FDZ) eingehalten werden.

Im Kontext der GFF-Klage gegen das FDZ (Gesellschaft für Freiheitsrechte, 2022/2026) hat der BfDI die Kritik an der Pseudonymisierung und dem fehlenden Widerspruchsrecht für GKV-Versicherte zur Kenntnis genommen.

Verhältnis zu anderen Datenschutzbehörden

Deutschland hat 17 Datenschutzaufsichtsbehörden (16 Länder plus BfDI). Für grenzüberschreitende Verarbeitungen innerhalb der EU koordiniert der BfDI mit den Behörden anderer Mitgliedstaaten im Europäischen Datenschutzausschuss (EDSA). Im Gesundheitsbereich sind oft mehrere Aufsichtsbehörden zuständig, z.B. Landesdatenschutzbehörden für Arztpraxen und Krankenhäuser.

Informationsfreiheit (IFG)

Neben dem Datenschutz überwacht der BfDI auch das Informationsfreiheitsgesetz (IFG). Bürgerinnen und Bürger können auf Basis des IFG Zugang zu amtlichen Dokumenten des Bundes beantragen. Der BfDI vermittelt bei Streitigkeiten zwischen Antragstellern und Behörden.

Verknüpfungen

  • BSI (technische Sicherheitsbehörde; kooperiert mit dem BfDI bei sicherheitsrelevanten Datenschutzfragen)
  • DSGVO (EU-Rechtsgrundlage für die BfDI-Aufsicht)
  • BDSG (nationales Datenschutzgesetz, das die BfDI-Befugnisse regelt)
  • ePA (Datenschutz der elektronischen Patientenakte; BfDI hat sich mehrfach geäußert)
  • GDNG (Sekundärnutzung von Gesundheitsdaten; Aufsichtsrolle des BfDI)
  • Telematikinfrastruktur (Infrastruktur, bei der der BfDI Datenschutzfragen prüft)
  • BfArM (Bundesbehörde unter BfDI-Aufsicht; betreibt das FDZ)
  • gematik (Bundesbehörde unter BfDI-Aufsicht; betreibt die TI)
  • Forschungsdatenzentrum-Gesundheit (FDZ; Gegenstand von BfDI-Prüfungen)

Quellen

Graphansicht

Alle

Backlinks