Bundesratsausschüsse stellen sich in Teilen gegen Pläne der Bundesregierung zum Datenschutzabbau

Die Ausschüsse des Bundesrats haben sich zur Datenschutzreform der Bundesregierung positioniert. Mit ihrem Vorschlag für eine Stellungnahme der Länderkammer kritisieren sie den Entwurf und machen an einigen entscheidenden Stellen Verbesserungsvorschläge. Beim Ausbau der Videoüberwachung liegen sie aber mit der Bundesregierung auf Kurs.

oto: Gaelle Marcel unter CC0 via unsplash

Kommende Woche beraten der Bundesrat und in erster Lesung auch bereits der Bundestag über den umstrittenen Vorschlag der Bundesregierung für eine Überarbeitung des deutschen Datenschutzrechtes [PDF]. Nun wurden die Empfehlungen der zuständigen Bundesratsausschüsse [PDF] für eine Stellungnahme der Länderkammer zum Gesetzentwurf veröffentlicht. Darin machen diese auf diverse handwerkliche Mängel des Entwurfs aufmerksam und unterbreiten eine große Zahl von Änderungsvorschlägen.

Mit dem Datenschutzanpassung- und Umsetzungsgesetz (DSAnpUG) sollte eigentlich nur eine Anpassung des deutschen Rechts an die Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) und die Richtlinie für den Datenschutz bei Polizei und Strafjustiz vorgenommen werden. In der jetzigen Version würde das Gesetz jedoch in Aus- und Überreizung von Öffnungsklauseln des EU-Rechts unter anderem Betroffenenrechte beschneiden, eine Ausweitung der Videoüberwachung möglich machen und die Befugnisse der Datenschutzbehörden bei der Kontrolle öffentlicher Stellen einschränken.

Wichtige Nachbesserungen bei der Einschränkung von Betroffenenrechten

Die zuständigen Ausschüsse schlagen dem Bundesrat nun vor, sich für einige entscheidende Verbesserungen des Gesetzes einzusetzen. So soll etwa „unverhältnismäßiger Aufwand“ keinen Grund darstellen, die informationelle Selbstbestimmung von Betroffenen einzuschränken – etwa ihr Recht auf Auskunft oder Löschung gespeicherter Daten.

Auch die sehr dehnbaren Regeln zum Entfallen der Informationspflichten, „wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“ (§ 33) sollen gestrafft werden. So soll es zum Beispiel nicht als Grund für eine Ausnahme von der Pflicht zur Information der Betroffenen gelten, wenn diese „allgemein anerkannte Geschäftszwecke des Verantwortlichen erheblich gefährden würde“.

Auch einige Aufweichungen der Zweckbindung bei von Unternehmen verarbeiteten Daten (§ 24) soll nach dem Willen der Bundesratsausschüsse gestrichen werden. Komplett aus dem Gesetz fliegen soll Paragraph 37, der es Versicherungsunternehmen erlauben würde, Entscheidungen ausschließlich auf Grundlage automatisierter Datenanalysen zu treffen.

Keine Nachbesserung bei der Videoüberwachung

Beim Thema Videoüberwachung liegt der Bundesrat hingegen auf dem Kurs der Bundesregierung. Statt einer Korrektur fordern die Ausschüsse sogar eine Erweiterung der Regeln: Der geplante Paragraph zur Videoüberwachung soll nach ihrem Willen um eine Klarstellung ergänzt werden, die die Rechtmäßigkeit einer „flächendeckende[n], tageszeit-unabhängige[n] Videoaufzeichnung in öffentlichen Verkehrsmitteln sicherstellt“. Zudem soll die Speicherung von Videoaufzeichnungen für mindestens sieben Tage ermöglicht werden. Bislang sieht der Entwurf der Bundesregierung vor, „die Daten […] unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.“

Außerdem enthält der Positionierungsvorschlag unter anderem auch die Bitte, im weiteren Verfahren zu prüfen, ob das mit der Datenschutzgrundverordnung neu geschaffene Recht auf Datenportabilität eingeschränkt werden kann. Dieses ermöglicht es Betroffenen ab Mai 2018 von Firmen und Behörden eine Herausgabe der bei ihnen über die eigene Person gespeicherten Daten in maschinenlesbarer und strukturierter Form zu verlangen. Damit soll zum Beispiel der Wechsel von Plattformen und Diensten einfacher gemacht werden. Die DSGVo sieht in in Artikel 12 bereits explizit vor, dass Verantwortliche bei einer „exzessiven“ Nutzung der Betroffenenrechte Gebühren erheben oder den Antrag verweigern können.

Zeitplan der Bundesregierung vermutlich nicht zu halten

Über die hier ausgeführten Punkt entält der knapp 140-seitige Vorschlag der Ausschüsse unter anderem Forderungen zur Stärkung der Position der Landesdatenschutzbeauftragten im Verhältnis zur Bundesdatenschutzbeauftragten, zur Schaffung eines eigenen Gesetzes zum Beschäftigtendatenschutz und zur Übernahme der Anonymisierungsdefinition aus dem alten Bundesdatenschutzgesetz.

Sollte der Bundesrat die Stellungnahme in dieser Form beschließen und vorgeschlagenen erheblichen Änderungsbedarf in Gesetzgebungsverfahren einspielen, wäre der eilige Zeitplan der Bundesregierung für die Datenschutzneuregelung vermutlich nicht mehr zu halten. Bislang ist geplant, das Gesetz noch im April zu verabschieden. Deshalb berät am kommenden Donnerstag auch schon das Bundestagsplenum in erster Lesung über den Gesetzentwurf, obwohl die Stellungnahme des Bundesrates noch nicht vorliegt.

13 Ergänzungen

  1. @ Ingo

    „So soll etwa „unverhältnismäßiger Aufwand“ keinen Grund darstellen, die informationelle Selbstbestimmung von Betroffenen einzuschränken – etwa ihr Recht auf Auskunft oder Löschung gespeicherter Daten.“

    Ähm, schon mal ins aktuelle BDSG geguckt? Da gibt es schon lange eine Ausnahmegrund, mit dem sich Unternehmen herausreden können. Der „unverhältnismäßige Aufwand“ wird in der Praxis regelmäßig herangezogen, um Datenauskünfte ganz oder in erheblichem Umfang zu verweigern.

    Hier versucht die Bundesregierung somit nicht, das bestehende, eher schlechte Datenschutzniveau zu senken, sondern zu halten.

    1. Dass es im alten BDSG auch Gummiparagraphen gibt, bestreitet ja niemand. Für die Einschränkung von Auskunfts- und Löschrechten wäre der explizite Grund „unverhältnismäßiger Aufwand“ aber schon ein Novum. So begründen auch die Bundesratsausschüsse ihren Einspruch: ein dermaßen dehnbarer Grund schränke die informationelle Selbstbestimmung zu sehr ein.

      1. @ Ingo

        Hmm, dann packen wir mal die Quellen auf den Tisch.

        § 34 Abs. 7 BDSG: „Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist.“

        Dann schauen wir doch mal in § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7, insbesondere in Nr. 2 BDSG:
        „die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich der Datensicherung oder der Datenschutzkontrolle dienen UND eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde“

        Aha, da ist er also, der unverhältnismäßige Aufwand.

        In der Praxis sieht das dann so aus:
        Du ersuchst Auskunft von einem Unternehmen, mit dem Du keine Vertragsbeziehung mehr hast (z.B. nach der Kündigung). Ein schlitzohriges und auskunftsunwilliges Unternehmen wird jetzt die folgende Karte ziehen:
        „Wir speichern Ihre Daten *nur* wegen der gesetzlichen Aufbewahrungspflicht oder dient *nur* der Datensicherung (Backup) und ist leider leider irgendwo extern als Tape eingelagert. Das Zurückholen und Beauskunften Ihrer Daten ist leider leider viel zu aufwändig und muss daher gem. § siehe oben unterbleiben.“

        So viel zum Auskunftsrecht. Und wie ist die Lage beim Löschungsrecht?

        Schlagen wir doch mal in § 35 Abs. Nr. 3 BDSG:
        “ An die Stelle einer Löschung tritt eine Sperrung, soweit (…) eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“

        Oha, schon wieder läuft uns der unverhältnismäßige Aufwand über den Weg, im alten BDSG wohlgemerkt.

        Wo ist jetzt die Verschlechterung durch das aktuelle Umsetzungsgesetz der Bundesregierung?

        1. Hehe sehr gut, habe vorhin von unterwegs tatsächlich nicht mehr nachgeschaut – so kann man sich täuschen. Aber unverhältnismäßiger Aufwand „aufgrund der besonderen Art der Speicherung“ ist schon nochmal spezifischer als es im BDSG-E vorgeschlagen ist. Gleiches gilt doch auch für 33 Abs. 2., wo der unverhältnismäßige Aufwand auch nicht allein steht. Unabhängig davon: Ich verstehe nicht ganz, worauf du eigentlich hinaus willst. Willst du sagen, dass das DSAnpUG kein Datenschutzabbau ist?

          1. @ Ingo

            Worauf ich hinaus will? Dass Du oder generell Ihr bei netzpolitik.org sauber recherchiert und analysiert – alleine schon, um Euch handwerklich wie politisch nicht angreifbar zu machen. Ganz so einfach und plakativ wie es „Bundesregierung will Datenschutzabbau!“ oder „Bundesregierung will Datenschutzniveau absenken!“ suggeriert, ist eben dann auch wieder nicht. Natürlich will die aktuelle Bundesregierung (vor allem CDU/CSU) tendenziell und generell den Datenschutz schwächen. Das DSAnpUG versucht an einigen Stellen eher, das bisherige, stellenweise schlechte deutsche Datenschutzniveau gegenüber dem stellenweise besserem EU-DSGVO-Datenschutzniveau durch Ausnutzung der Öffnungsklauseln zu bewahren.

            Mit anderen Worten: Die EU-DSGVO bringt an einigen Stellen eigentlich Verbesserungen zur bisherigen deutschen Rechtslage (= höheres Datenschutzniveau). Das wieder einzudämmen, versucht die Bundesregierung derzeit (+ teilweise noch das aktuelle deutsche Datenschutzniveau zu unterschreiten).

            Ich würde mir wünschen, dass es etwas differenzierter zugeht. Sonst brüllen am Ende alle nur „Bundesregierung böse! DSAnpUG scheiße! Alles wird schlechter beim Datenschutz!“ und die Nuancen (= „bisher war das BDSG auch nicht frei von Makeln“) gehen verloren.

            BTW: Gibt es schon Klagevorhaben gegen die europarechtswidrige Umsetzung der EU-DSGVO durch die Bundesregierung?

          2. Dirk, kp warum der Kommentar verschwunden war – ich war im Urlaub. Hier ist er jedenfalls wieder und meine Antwort:
            Deine Einschätzung, dass „Bundesregierung will Datenschutzabbau“ eine zu plakative Formulierung ist, teile ich nicht. Allein schon wegen des ua. im Rahmen des DSAnpUG ermöglichten Ausbaus der Videoüberwachung stimmt der Satz. Dein Hinweis, dass die Formulierung „unverhältnismäßiger Aufwand“ auch schon im alten BDSG vorhanden war, ist ja richtig. Eine Gefahr, dass das bisherige deutsche Datenschutzrecht glorifiziert wird, sehe ich aber nicht. Zumal „Datenschutzabbau“ sich meiner Meinung nach auch auf die Schwächung der bereits beschlossenen aber noch nicht angewendeten Grundverordnung beziehen kann.

            Klagevorhaben sind mir nicht bekannt – das Gesetz ist ja noch nicht mal beschlossen und vielleicht bewirken Bundestag und Bundesrat vorher ja noch etwas.

  2. Immerhin etwas ausgebremst.

    Die Software für eine automatisierte Überwachung haben wir schon längst (INDECT). Das Gesetz sollte wohl die Infrastruktur und Vernetzung legalisieren.
    Gemacht wird’s eh.

  3. Um es etwas geradezurichten: der unverhältnismäßige Aufwand zur Löschung entsteht dann, wenn man als Firma durch z.B. innereuropäischen Außenhandel zur revisionssicheren Speicherung von E-Mails verdonnert ist. Solche Archivsysteme sind genau dagegen geschützt einzelne E-Mails löschen zu können, damit man als Betreiber immer sagen kann „Das ist die ganze Wahrheit.“.
    Hieraus eine Bewerberemail zu löschen, die der Bewerber an einen Mitarbeiter direkt statt an Bewerbersystem geschickt hat, ist nur durch unterjubeln einer Ersatzemail mit gleichem Hash etc. möglich.

  4. Exzessive Nutzung der Betroffenenrechte. Mit anderen Worten: werd nicht aufmüpfig, Untertan. Und was ist mit exzessiven Eingriffen in Grundrechte aus nichtigen Gründen?

    Warum ist gerade Videoüberwachung, eine der gemeinsten, perfidesten und unentrinnbarsten Formen von VDS, gesellschaftlich weitgehend akzeptiert und warum wird gerade diese politisch überhaupt nicht mehr in Frage gestellt? Der ganze Polit-Mainstream lässt jegliches Bewusstsein dafür vermissen, was allgegenwärtige Videoaufzeichnung mit intelligenten Menschen macht. Jegliche Ahnung, welch monströsen „Gesellschaftsvertrag“, welch Ausgeburt paranoiden Misstrauens das krankhafte Sammeln dieser Datenspuren eigentlich ist und was für eine kranke, paranoide, ängstlich-konformistische Gesellschaft dadurch geformt wird?

    Du kannst dich noch frei bewegen, bist aber nicht mehr frei. Nie mehr. Niemand ist frei, der keine kleine Ordnungswidrigkeit mehr ausführen kann, ohne dabei „für die eigene Sicherheit“ gefilmt zu werden. Niemand ist frei, dessen Bewegungen mehrere Wochen lang lückenlos protokolliert und aufbewahrt werden, jeden Tag des verfluchten restlichen Lebens. Niemand ist frei, dessen Mimik durch Emotionserkennung kontrolliert wird. Niemand ist frei, dessen Kontakte automatisch nachvollzogen werden.

    All das ohne echte Not: für ein Appel und ein Ei (ewig substanzloses Geschwurbel „für die Sicherheit“ – oder sogar Hinweis auf mögliche SACH-Schäden reicht) kann man tief in die Persönlichkeitsrechte der Betroffenen eingreifen (besser gesagt, sie verneinen). Diejenigen, die das nicht einsehen, kann jeder Scheiß-Betreiber abwimmeln. Landesdatenschutzstellen sind schon heute willfährige Komplizen bei diesem Abwimmeln, sie stellen die Sinnhaftigkeit von Videoüberwachung und die hanebüchenen Begründungen prinzipiell nicht in Frage und schöpfen ihren Rahmen nicht aus. Lieber verweigern sie die Arbeit und lassen einen in den allermeisten Fällen von krass übertriebener Überwachung schon heute im Regen stehen.

    Die dürften sich über die neue DSGVO (10% wässrige Datenschutzlösung, 90% Entgegenkommen gegenüber Datenschweinen und böswillig-datenschutzfeindlicher Politik) freuen. Das, was die da gerade umsetzen wollen („Wichtige Nachbesserungen bei der Einschränkung von Betroffenenrechten“, „Keine Nachbesserung bei der Videoüberwachung“) sieht ihnen ähnlich.

    Die Video-VDS begleitet und komplettiert die für sich genommen schon monströse Telekommunikations-VDS. Wer hat dieses Telefon gekauft? Schauen wir doch nach. Bald auch automatisch und ganz ohne Aufwand. Wer hat sich hier mit dem WLAN verbunden? Schauen wir doch nach. Was bedeutet diese Nachricht? Schauen wir doch nach, was unsere Versuchsperson dann tut. Spann. Gaff. Analysier. Oh, hier wurde eine Tüte auf den Boden geworfen. WER WAR DAS? Schauen wir doch nach. Fragen wir doch mal bei diesem Kiosk, dessen Kamera so praktisch auf den Gehweg gerichtet ist, ob wir einen Fernzugriff kriegen. Illegal? Scheißegal, wir sind die Gedankenpolizei. Interessant, die Süddeutsche. Wo steht er denn politisch? PredPol2000 wird es uns sagen. Profil upgedatet.

    Spann. Gaff. Analysier. Dunkle Haut, gleich mal mit SIS abgleichen. Spann. Gaff. Analysier. 10% Terror-Risiko. Spann. Gaff. Glotz. Analysier. Gefährder. Spann. Gaff. Glotz. Analysier. Oho, das melden wir mal dem „Arbeitgeber“. Spann. Gaff. Glotz. Analysier. „für Ihre eigene Sicherheit dürfen Sie hier nicht mehr mitfahren, laut Gesichtserkennung sehen Sie einem Terroristen ähnlich“. Spann. Gaff. Glotz. Speichern ist geil! Schon zwei Passworteingaben automatisch mitgeschnitten. Spann. Gaff. Glotz. Bei rot über die leere Straße! Ordnungswidrigkeit! Stammdaten abfragen! Oho, was ist denn das? Eine anonyme Prepaidkarte gekauft? Ab ins Präventivgewahrsam.

    Datenvoyeurismus bleibt nicht folgenlos. Video-VDS hat ihren Sinn. Der hat aber herzlich wenig mit „Sicherheit“ zu tun, von der man als Mensch etwas hätte. Ist ja auch alles schon diskutiert worden. Also warum gerade da so unnachgiebig? Weil Macht geil ist? Aus Verblendung? Geschmiert? Oder nur dumm?

    Ich fühle mich immer weiter absinken, tiefer und tiefer in dem uferlosen, viskosen, dunklen See des strunzdummen Überwachungsmasochismus der Mehrheit. Nein, nichts rechtfertigt das. Versucht es gar nicht erst, Überwachungsapologeten. Massenüberwachung kann nie gerechtfertigt werden, bitte fangt nicht an, die Vorzüge aufzuzählen.

    Wenn man sich doch nur dagegen organisieren könnte …

    „Laut Ihren Daten sind Sie Mitglied einer terroristischen Vereinigung, der Datenhinterziehung und ein übersteigertes Interesse für Umweltschutz zur Last gelegt werden. Es liegt ein Haftbefehl des FBI vor. Außerdem stehen Sie in Verdacht, verschlüsselt zu haben“.

    Mist. Hätten wir doch vorher was getan.

    1. Später werden wir sagen bzw. Jammern, „2017 hatten Wir alle die Wahl, doch wir wählten wieder die Altgewohnte Politik und nun, dürfen Wir nicht mehr frei Wählen!“

  5. Besonders bedauerlich ist auch, dass mit dem DSAnpUG die in der EU-DSGVO vorgesehene Möglichkeit, auch gegen Behörden Bußgelder zu verhängen, ausgehebelt werden soll. Der Eifer deutscher Behörden bei der Einhaltung des Datenschutzrechts würde deutlich beflügelt, wenn es das Damoklesschwert eines Bußgelds (das zwar nur gegen die Behörde verhängt würde, aber zur Regressforderung gegen den handelnden Amtsträger führen würde) gäbe.
    BMI-Vertreter sagte dazu kürzlich auf Nachfrage nur, diese Bußgeldmöglichkeit wolle man nicht, weil sie ein „Novum“ darstellen würde. „Novum“ stimmt zwar – aber es wäre ein begrüßenswertes Novum.

  6. Das „Videoüberwachungsverbesserungsgesetz“ wird aktuell in das jetzige BDSG noch unter § 6b aufgenommen. Der Wortlaut der Ergänzung des BDSG ist mit dem des DSAnpUG gleich.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.