Dies ist ein Gastbeitrag von Volker Tripp, der zuerst auf digitalegesellschaft.de erschien. Volker Tripp ist Jurist und arbeitet als politischer Geschäftsführer beim Digitale Gesellschaft e.V.
Seit dem 25. Mai dieses Jahres sind die europäische Datenschutzgrundverordnung (DSGVO) sowie die Datenschutz-Richtlinie (DSRL) in Kraft. Die Regelungen sollen das bislang geltende Datenschutzrecht der EU, das noch aus den Neunziger Jahren stammt, ablösen und fit für das digitale Zeitalter machen. Während eine Richtlinie noch der Umsetzung in nationales Recht bedarf, hat eine Verordnung in den Mitgliedstaaten grundsätzlich unmittelbare Geltung. Die Datenschutzgrundverordnung enthält allerdings zahlreiche Öffnungsklauseln, die es den einzelnen Mitgliedstaaten erlauben, von den EU-Vorgaben abzuweichen und nationale Sonderwege einzuschlagen.
Von dieser Möglichkeit will Deutschland nun offenbar reichlich Gebrauch machen. Das Bundesinnenministerium hat Ende November einen Referentenentwurf für die Anpassung des deutschen Datenschutzrechts an die neuen EU-Regeln vorgelegt und dazu verschiedene Interessenvertreter und Verbände angehört. Im Zentrum des Vorhabens steht die Neufassung des Bundesdatenschutzgesetzes. Neben Vorschriften zur Umsetzung der Datenschutz-Richtlinie sollen auch eine Reihe von Bestimmungen auf Grundlage der Öffnungsklauseln der Datenschutzgrundverordnung in das Gesetz aufgenommen werden.
Auch die Digitale Gesellschaft hat sich den ganze 126 Seiten umfassenden Referentenentwurf angesehen und innerhalb der äußerst knapp bemessenen Frist von nur zwei Wochen eine schriftliche Stellungnahme dazu abgegeben. Tatsächlich birgt der Entwurf eine Menge Sprengstoff.
Rote Linien überschritten: Datenschutzprinzipien und Betroffenenrechte werden aufgeweicht
Zentrale Prinzipien des Datenschutzes, insbesondere die Zweckbindung, sollen bis zur Unkenntlichkeit aufgeweicht werden. Der Zweckbindungsgrundsatz besagt, dass Daten grundsätzlich nur zu dem Zweck verwendet werden dürfen, zu dem sie auch erhoben wurden. Nach den Plänen des Bundesinnenministeriums soll das künftig beispielsweise dann nicht mehr gelten, wenn eine nachträgliche Zweckänderung „im berechtigten Interesse“ des Verantwortlichen liegt. Wann ein solches „berechtigtes Interesse“ gegeben ist, definiert der Entwurf hingegen nicht. Betroffene Personen können unter diesen Umständen kaum absehen, was mit ihren personenbezogenen Daten passieren wird, nachdem sie in eine Datenverarbeitung eingewilligt haben. Die Einwilligung, bislang eines der wichtigsten Instrumente zur Sicherung der Datensouveränität, wird auf diese Weise weitgehend entwertet.
Ähnlich besorgniserregend sieht es auch bei den Informationspflichten der Datenverarbeiter und den zentralen Betroffenenrechten wie den Rechten auf Auskunft, Widerspruch und Löschung aus. In all diesen Punkten fällt der Entwurf hinter das Niveau des geltenden deutschen Datenschutzrechts zurück. Die geplanten Regelungen überdehnen außerdem an vielen Stellen die europarechtlichen Öffnungsklauseln und stehen deshalb in offenem Widerspruch zu den EU-Vorgaben. Der Entwurf überschreitet damit klar die roten Linien, die während der „Trilog“ genannten Dreiecksverhandlungen zwischen Europäischem Parlament, Ministerrat und EU-Kommission vereinbart wurden. Außerdem torpediert er das Kernziel der Datenschutzgrundverordnung, den Datenschutz in Europa zu harmonisieren und ein EU-weit einheitliches Datenschutzniveau zu schaffen.
Neues Credo der Bundesregierung: Datenreichtum statt Datensparsamkeit
Schon während der Verhandlungen um die Datenschutzgrundverordnung hatte Deutschland sich im EU-Ministerrat für Schwächungen der Betroffenenrechte eingesetzt. Durchsetzbar waren im Ergebnis jedoch nur die bereits erwähnten Öffnungsklauseln. Der jetzige Vorstoß des Bundesinnenministeriums erweckt den Eindruck, dass genau die Verschlechterungen des Datenschutzes, welche die Bundesregierung auf EU-Ebene bislang nicht durchdrücken konnte, nun auf dem Umweg über das nationale Recht verankert werden sollen.
Dieser Eindruck wird unter anderem auch dadurch bestärkt, dass etwa Bundeswirtschaftsminister Gabriel, Bundesverkehrsminister Dobrindt und Bundeskanzlerin Merkel in den vergangenen Wochen und Monaten immer wieder eine Abkehr vom Grundsatz der Datensparsamkeit propagiert haben. An dessen Stelle soll nach ihrer Vorstellung das Prinzip des „Datenreichtums“ treten. Für sie sind personenbezogene Daten weniger ein schützenswertes Gut als vielmehr Roh- und Treibstoff für die Digitalwirtschaft. Neue datenbasierte Geschäftsmodelle sollen entstehen, weshalb personenbezogene Daten in möglichst großem Umfang anfallen und Unternehmen möglichst freie Hand beim Umgang mit diesen Daten erhalten sollen.
Fazit: In der gegenwärtigen Fassung europarechtswidrig
Bereits im Januar 2017 soll das Bundeskabinett mit dem Entwurf befasst werden. Noch vor dem Ende der Legislaturperiode soll das Gesetz dann auch den Bundestag passiert haben. Inwieweit das Bundesinnenministerium auf die Kritik an dem Referentenentwurf eingehen wird, wird also Anfang kommenden Jahres feststehen. Eine echte Kehrtwende ist angesichts des datenschutzunfreundlichen Kurses der Bundesregierung eher nicht zu erwarten. In der gegenwärtigen Fassung wird das Gesetz jedoch einer europarechtlichen Überprüfung kaum standhalten. Das sollten sich auch die Parlamentarier vor Augen halten, die im kommenden Jahr über das Gesetz abstimmen werden. Eine Aufhebung des Gesetzes durch den Europäischen Gerichtshof stünde gerade Deutschland als Mutterland des Datenschutzes äußerst schlecht zu Gesicht.
Zusammenfassung im Video: Die Datenschutz-Novelle ist auch das Thema der aktuellen Folge „In digitaler Gesellschaft“ beim Berliner Radiosender FluxFM:
Wenn unsere Daten der „Rohstoff der Zukunft“ sein sollen, dann bleibt zum Schutz der Persönlichkeit nichts anderes übrig, als den Datenschutz in die eigenen Hände zu nehmen. Bei diesen Aussichten bleibt nichts anderes mehr übrig, als sich selbst ordentlich zu radikalisieren:
1.) Es wird fortan konsequent keine Einwilligung mehr zur Datenverarbeitung erteilt. Basta!
2.) Bisher erteilte Einwilligungen werden sämtlich zurückgezogen, mit Hinweis auf die drohende Gesetzeslage. Da macht Arbeit, aber das bin ich mir wert.
Kämpft gegen die kommerzielle Ausbeutung unserer Daten!
No datamining, no data trading!
Mit solch einer konsequenten Handlungsweise katapultiert man sich technologisch zurück in die Steinzeit. Zurück in die 90er wäre ja noch toll, aber es gibt einfach keine funktionierenden Alternativen. Gerne möchte ich wissen wie alt du ungefähr bist? Wenn du jung bist, dann wirst du keine Chance haben ohne Facebook, WhatsApp oder sonstigem Kommunikationsmedium (außer Telefon) in der Gesellschaft zu überleben. Singles zwischen 20 und 40 sind z.B. auf WhatsApp angewiesen. Wenn man eine Frau kennenlernt, ihre Nummer bekommt und sie dann anruft, dann gilt man als seltsam. Mann hat mehr Chances wenn er sie anschreibt.
Und das war nur ein Beispiel. Ein 0815 Smartphone das aus der Originalverpackung kommt kannst du dann auch nicht mehr nutzen. Du brauchst spezielle Firmware und Apps und das erfordert einiges an Zeit an Forschungsarbeit, um open source Software mit den passenden Lizenzen zu finden. Und dann musst du die Software in einigen Fällen noch selbst bauen. Also ein Ottonormalverbraucher schafft es höchstens noch mit Anleitung eine neue Firmware auf sein Gerät zu bringen, aber alles andere erzeugt einen sehr hohen Aufwand, sogar für Leute die sich damit auskennen. Dazu kommt noch, dass wenn man das „perfekte“ Handy hat, es nicht lange halten wird. Viel Software wird einfach nicht weiterentwickelt, man sucht ständig Alternativen und das Betriebssystem ist schnell veraltet und somit eine Sicherheitslücke (was wiederum deine Daten in Gefahr bringt). Ich bin oder war so einer, der komplett proprietärer Software den Rücken kehrte, doch nach spätestens einem Jahr musste ich aufgeben. Der Aufwand war viel zu groß, denn fast die komplette Freizeit geht dafür flöten, wenn man auch noch einen 9-5 Job und sonst keine Hobbies hat. Heute würde ich jedem raten das Betriebssystem zu verwenden, das am meisten Updates bekommt (Samsung oder Nexus mit Android) und darauf zu achten, dass man einfach nicht sensible Daten auf dem Gerät speichert und zu vieles Surfen, Rumlaufen, etc. unterlässt, damit möglichst wenig Bewegungsprofile oder Vorlieben erkannt werden können. Ich selbst bevorzuge zum Surfen einen Linuxrechner ohne Mikrofon, GPS, Kamera oder sonstigen Spielereien. Es ist zwar heutzutage nicht möglich überhaupt im Internet anonym zu surfen, weil alleine schon unsere Browser einen eindeutigen Fingerabdruck hinterlassen, doch kann man die Datensammlerei (mMn) mit Linux (nicht jedes Linux) stärker einschränken.
Was sind denn deine vorgeschlagenen Alternativen? Denn komplett auf moderne Technologie wird kein Mensch (20-40 Jahre alt) komplett verzichten können.
Es würde mich sehr interessieren, welche Auswirkungen das neue Gesetzt auf den Datenschutz im Betrieb haben wird. Darüber wird es eher selten diskutiert, aber stellen Sie sich vor, welche vertrauliche Daten im Email-Postfach eines Betriebsratsmitglieds täglich landen! Das Thema greift ein Info-Portal für Betriebsräte in diesem Beitrag hier https://www.betriebsrat.de/datenschutz-im-unternehmen/datenschutz-im-betriebsrat/der-betriebsrat-sitzt-im-datenschutz-glashaus.html . Der Autor merkt an, dass es viel Sinn machen würde, die alte Idee eines Audit-Gesetzes zum Datenschutz ins Leben zu rufen. Ein Entwurf lag im Jahr 2007 erstmal vor, wurde aber heftig kritisiert und hatte tatsächlich viele Lücke. Oder war es einfach zu früh für so eine Regelung – so ist meine Meinung.
Jeder Mitarbeiter löst im Personalbereich umfassende Datenverarbeitung aus. Problematisch wird es, wenn externe Dienstleister damit beauftragt wurden, die durchaus auch außerhalb von Deutschland speichern und verarbeiten können.
Wird ein Unternehmen von internationalen Investoren übernommen, haben plötzlich Fremde die Herrschaft über Personaldaten, die mit (noch) geltenden Datenschutzgesetzen wenig am Hut haben.
Der Staat darf keine enteignenden Gesetzte gegen den Menschen machen wie persönliche Besitz also Daten des Menschen gegen den Willen des Menschen weg nehmen solange er sich noch Demokratie nennt. Hinweis, wer jemanden etwas gegen seinen Willen weg nimmt ist ein Dieb, mehr nicht.
Der erste Satz dieses Artikels lautet: „Seit dem 25. Mai dieses Jahres sind die europäische Datenschutzgrundverordnung (DSGVO) sowie die Datenschutz-Richtlinie (DSRL) in Kraft.“ Was ist mit der „Datenschutz-Richtlinie (DSRL)“ gemeint? Die Formulierung lässt zwei verschiedene in Kraft getretene Gesetze vermuten; die beiden Links verweisen jedoch auf das selbe Dokument, nämlich die EU-DSGVO. Und meines Wissens nach ist das auch das einzige Gesetz, das in Sachen Datenschutz im Mai in Kraft getreten ist und ab dem 25.05.2018 anzuwenden ist.
Liebe Meike,
gemeint ist vermutlich neben der Datenschutzgrundverordnung (2016/697 – DS-GVO) die „Datenschutzrichtlinie für Polizei und Justiz“ (RL 2016/680 – DS-JI-RL). Während die EU-Verordnung unmittelbar geltendes Recht ist bzw. ab 25.05.2018 wird ist die EU-Richtlinie in nationales Recht „zu übersetzen“ (vergleichbar mit dem DSGVO-Vorgänger der EU Datenschutz-RL 95/46/EG).