Datensicherheit und Datenschutz im Anti-Doping-Kampf
der Abgeordneten Britta Katharina Dassler, Dr. Marcel Klinge, Daniela Kluckert, Stephan Thomae, Grigorios Aggelidis, Renata Alt, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Mario Brandenburg, Dr. Marco Buschmann, Carl-Julius Cronenberg, Dr. Marcus Faber, Daniel Föst, Otto Fricke, Thomas Hacker, Katrin Helling-Plahr, Markus Herbrand, Katja Hessel, Dr. Christoph Hoffmann, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Gyde Jensen, Katharina Kloke, Pascal Kober, Konstantin Kuhle, Alexander Kulitz, Alexander Graf Lambsdorff, Ulrich Lechte, Michael Georg Link, Oliver Luksic, Alexander Müller, Roman Müller-Böhm, Dr. Martin Neumann, Dr. Stefan Ruppert, Christian Sauter, Frank Schäffler, Dr. Wieland Schinnenburg, Matthias Seestern-Pauly, Frank Sitta, Judith Skudelny, Bettina Stark-Watzinger, Dr. Marie-Agnes Strack-Zimmermann, Benjamin Strasser, Katja Suding, Michael Theurer, Dr. Florian Toncar, Dr. Andrew Ullmann, Nicole Westig und der Fraktion der FDP
Vorbemerkung
Auch in einem effektiven Anti-Doping-Kampf müssen die Freiheits- und Persönlichkeitsrechte der Athletinnen und Athleten gewahrt werden.
Zur Bekämpfung von Doping auf nationaler und internationaler Ebene unterhalten die Welt-Anti-Doping-Agentur (WADA) und die Nationale Anti Doping Agentur Deutschland (NADA) umfangreiche Datenbanken, in denen Athletinnen und Athleten aus Deutschland etwa drei Monate im Voraus ihre Termine und Aufenthaltsorte, die sogenannten Whereabouts, melden müssen, sofern sie dem Registered Testing Pool (RTP) und dem Nationalen Testpool (NTP) angehören.
Kurzfristige Änderungen des Aufenthaltsorts sind ebenfalls mitzuteilen. RTP-Athletinnen und RTP-Athleten müssen jeden Tag zu einer bestimmten Zeit an einem bestimmten Ort für eine Dopingkontrolle angetroffen werden können.
Neben den Whereabouts werden auch Krankheits- und Behandlungsdaten, Ergebnisse von Urin- und Blutproben bei Trainings- und Wettkampfkontrollen zu einem biologischen Profil des Sportlers zusammengeführt und gespeichert. Dieses Profil und die Whereabouts werden in der internetbasierten Datenbank ADAMS („Anti-Doping Administration and Management System“) gespeichert, die von der WADA in Kanada betrieben wird.
Diese Daten erlauben weitreichende Rückschlüsse auf die Gesundheit, die Persönlichkeit und die Bewegungsprofile aller gespeicherten Athletinnen und Athleten, die nicht in unmittelbarem Zusammenhang zum Sport stehen müssen.
Die Hackergruppe Fancy Bear/APT28, die als mutmaßlicher Urheber der Angriffe auf den Deutschen Bundestag 2015 und die Bundesregierung 2017/2018 gilt, hat sich 2016 auch Zugang zur Datenbank ADAMS und Zugriff auf Ausnahmeregeln zur Anwendung von Mitteln der Dopingliste (Therapeutic Use Exemptions – TUEs) verschaffen können.
Wir fragen die Bundesregierung:
Fragen26
Wie viele deutsche Athletinnen und Athleten sind gegenwärtig nach Kenntnis der Bundesregierung in beiden Testpools (RTP bzw. NTP) registriert?
Wie viele Athletinnen und Athleten sind gegenwärtig nach Kenntnis der Bundesregierung insgesamt in den Datenbanken der WADA registriert?
Wie viele Personen und/oder Institutionen haben nach Kenntnis der Bundesregierung Zugriff auf die Whereabouts, den biologischen Athletenpass und die Therapeutic Use Exemptions (TUEs)?
Gibt es ein Berechtigungskonzept, das die Zugriffsrechte innerhalb von NADA, WADA und Dienstleistern, die Dopingkontrollen durchführen, definiert? Wie sieht ein solches Berechtigungskonzept aus?
Wie lange ist die Speicherungshöchstdauer der Daten nach Kenntnis der Bundesregierung? Gibt es einen automatischen Löschmechanismus für die Daten? Wie lange werden die Daten im Durchschnitt gespeichert?
Ist auf die Daten von europäischen Athleten nach Auffassung der Bundesregierung die Datenschutz-Grundverordnung (DSGVO) seit dem 25. Mai 2018 anwendbar, auch wenn sie außerhalb der EU verarbeitet werden, z. B. da die Verarbeitung im Zusammenhang mit der Beobachtung von Verhalten innerhalb der EU erfolgt (Artikel 3 Absatz 2 Buchstabe b DSGVO)? Wenn nein, welches Datenschutzrecht ist auf diese Daten anwendbar?
Wie sehen nach Kenntnis der Bundesregierung die Auskunfts- und Löschrechte von Daten über deutsche Athletinnen und Athleten der in Kanada gehosteten Daten aus?
Wie sind die Zuständigkeiten zwischen NADA und WADA nach Kenntnis der Bundesregierung hinsichtlich der Auskunftsrechte und Löschungsersuchen von Athletinnen und Athleten?
Mit welchen Maßnahmen werden nach Kenntnis der Bundesregierung die bei der NADA und WADA gespeicherten Daten der Athleten vor unberechtigtem Zugriff, Missbrauch und Manipulation geschützt?
Wie schätzt die Bundesregierung die Sicherheit der Datenbanken von NADA und WADA nach dem Hackerangriff von 2016 ein?
Gab es im Anschluss an den Hackerangriff von 2016 nach Kenntnis der Bundesregierung Maßnahmen zur Verbesserung der IT-Sicherheit bei NADA und WADA?
Gab es einen Informationsaustausch über die mutmaßlichen Urheber der Hackerangriffe in Deutschland und Kanada oder eine Zusammenarbeit kanadischer und deutscher Behörden in der Ermittlung oder Abwehr dieser oder anderer Hackergruppen?
Hat die Bundesregierung Erkenntnisse, ob durch den Hackerangriff Daten deutscher Athletinnen und Athleten gestohlen oder kopiert wurden?
Hat die Bundesregierung Erkenntnisse, ob durch den Hackerangriff Daten von internationalen und/oder deutschen Athletinnen und Athleten manipuliert wurden?
Hält die Bundesregierung es für zulässig, die Mitwirkung der Sportler an ADAMS auszusetzen, solange die Datensicherheit in Kanada auch nach dem Hack nicht belegt ist?
Wie beurteilt die Bundesregierung das Datenschutzniveau in Kanada im Vergleich zu Deutschland nach dem Inkrafttreten der DSGVO?
Aufgrund welcher Rechtsgrundlage werden nach Kenntnis der Bundesregierung Daten von und an die WADA und insbesondere in ein Drittland übermittelt? Wie wird die Übertragung technisch umgesetzt?
Hält die Bundesregierung eine Angabe über den Aufenthaltsort der Sportler drei Monate im Voraus für erforderlich zur Durchführung des Dopingkontrollsystems der NADA? Können effektive Dopingkontrollen auch geplant werden, wenn der Meldezeitraum für die Whereabouts unter drei, zwei oder einem Monat liegt?
Hält die Bundesregierung die durch das Meldesystem bedingten Eingriffe in die Persönlichkeitsrechte und die Berufsfreiheit der Athletinnen und Athleten für gerechtfertigt?
Wie bewertet die Bundesregierung die Vereinbarkeit der Erhebung, Verarbeitung und Nutzung besonderer Arten persönlicher Daten der Athleten mit der DSGVO, insbesondere Gesundheitsdaten? Sieht die Bundesregierung die Erhebung, Speicherung und Weitergabe in den Datenbanken der WADA und NADA als vereinbar an mit der DSGVO?
Sieht die Bundesregierung Handlungsbedarf, das Anti-Doping-System, die ADAMS-Datenbank und die Whereabouts zugunsten der Persönlichkeitsrechte der Athletinnen und Athleten nachzubessern?
Hat die Bundesregierung Kenntnis von Plänen der NADA und der WADA, Änderungen an der ADAMS-Datenbank und den Whereabouts vorzunehmen, die zu mehr Datensicherheit, Datenschutz und weniger Eingriffen in die Privatsphäre der Athletinnen und Athleten führen? Sieht die Bundesregierung hier Handlungsbedarf?
Sind der Bundesregierung Alternativen zum bestehenden Anti-Doping-System bekannt? Worin sieht die Bundesregierung die Vor- und Nachteile dieser Alternativen?
Welche Maßnahmen oder Initiativen plant oder begleitet die Bundesregierung, um den Datenschutz und die Datensicherheit im bestehenden Anti-Doping-System zu verbessern?
Wie beurteilt die Bundesregierung die Effizienz des bestehenden WADA-Systems angesichts des russischen Staatsdopings?
Auf welcher Rechtsgrundlage beruht die Veröffentlichung von Dopingverstößen? Sieht die Bundesregierung den hierdurch entstehenden Eingriff in das informationelle Selbstbestimmungsrecht der Sportler als gerechtfertigt an?