DSAnpUG: Bundesrat fordert erhebliche Nachbesserungen, stellt sich Datenschutzabbau aber nicht komplett entgegen

Der Bundesrat hat seine Stellungnahme zum Datenschutzanpassungs- und Umsetzungsgesetz beschlossen. Bei Auskunfts- und Löschrechten fordert die Ländernkammer wichtige Kurskorrekturen. Einige Vorschläge, etwa zu automatisierten Entscheidungen von Versicherungen, wurden jedoch abgelehnt.

Sitz des Bundesrats in Berlin. CC BY 2.0, via wikipedia/campsmum / Patrick Jayne and Thomas

Der Bundesrat hat am vergangenen Freitag seine Stellungnahme [PDF] zum Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) verabschiedet. Darin folgt die Länderkammer über weite Strecken der Kritik der Ausschüsse, die sich für erhebliche Nachbesserungen bei der Datenschutzreform der Bundesregierung aussprachen. Einige entscheidende Vorschläge, die das Recht auf informationelle Selbstbestimmung gestärkt hätten, wurden jedoch abgelehnt.

Notwendig ist das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“, weil die ab Mai 2018 anzuwendende europäische Datenschutzgrundverordnung (DSGVO) und die Datenschutzrichtlinie für Polizei und Justiz der EU weitreichende Vorgaben machen. Nach Einschätzung von Datenschützern gehen die nun vorgeschlagenen Änderungen aber weit über den notwendigen Regelungsbedarf hinaus. Selbst da, wo keine oder lediglich restriktive Öffnungsklauseln bestehen, die den Mitgliedstaaten gegebenenfalls Spielraum offenlassen, untergräbt der Gesetzentwurf die europäischen Datenschutzziele, auf die man sich nach langen Verhandlungen im Frühjahr 2016 geeinigt hatte.

Ohne Anspruch auf Vollständigkeit hier einige zentrale Punkte der Bundesratsentscheidung:

Transparenzrechte nicht zu stark einschränken

Der Gesetzentwurf der Bundesregierung sieht in Paragraph 34 Absatz 1 Nummer 2 vor, dass eine datenverarbeitende Stelle Betroffenen die Auskunft verweigern kann, wenn dies unter anderem „einen unverhältnismäßigen Aufwand erfordern würde“.

Der Bundesrat stimmte zwar gegen den Vorschlag, die Streichung des kompletten Abschnitts zu fordern, setzt sich nun aber für eine klare Entschärfung ein. So wurde eine Forderung beschlossen, den entsprechenden Abschnitt deutlich umzuformulieren: Er soll sich nach dem Willen des Bundesrates jetzt nur noch auf öffentliche Stellen (Behörden usw.) beziehen. Die Formulierung „unverhältnismäßiger Aufwand“ wäre nicht mehr enthalten. Eine Verweigerung der Auskunft wäre nur in engen Grenzen und „wenn eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist“ möglich.

Komplett durch fiel hingegen der Vorschlag, die Einschränkung von Informationspflichten „im Interesse der öffentlichen Ordnung“ zu streichen. Grundsätzlich müssen Betroffene bei der Erhebung ihrer Daten informiert werden. Die Bundesregierung sieht jedoch unter anderem eine Ausnahme vor, wenn diese Information „die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten würde“. Eine Gefährdung der öffentlichen Ordnung wird laut Beschlussempfehlung der Ausschüsse von der DSGVO als möglicher Ausnahmegrund jedoch gar nicht geführt.

Weg frei für vollautomatisierte Entscheidungen bei Versicherungen

Ebenfalls abgelehnt wurde eine Passage, in der die Ausschüsse die Streichung des Paragraph 37 vorschlugen. Mit diesem will die Bundesregierung Versicherungen automatisierte Entscheidungen über Leistungsbewilligungen ermöglichen. Warum dies abzulehnen ist, hatten die Ausschüsse anschaulich beschrieben:

Für Versicherte kann diese Ausnahme bedeuten, dass sie künftig nur noch automatische Ablehnungen in ihrem Briefkasten finden, wenn ein Teil ihrer Arztrechnung nicht übernommen wird. Sollten sie an dieser Entscheidung Zweifel haben, müssen sie die Versicherung selbst anschreiben und um eine Überprüfung bitten. Bislang wurde im Einzelfall geprüft und die Verbraucher erhielten konkrete Bescheide. Wenn eine Versicherung diese Routine umdreht, würden die Schutzstandards massiv abgesenkt, da der Verbraucher selbst tätig werden müsste. Es wird eine Hürde für eine Intervention des Verbrauchers aufgestellt.

Die finale Stellungnahme des Bundesrates enthält nun lediglich einen Formulierungsvorschlag, der dies etwas abschwächen würde. So empfiehlt die Länderkammer nun, dass Kunden im Rahmen der Information über die automatisierte Ablehnung ihres Leistungsantrages eine personliche Überprüfung durch einen Mitarbeiter angeboten wird. Darüber hinaus bittet der Bundesrat jedoch sogar um Prüfung, ob diese Ausnahmeregelung von der DSGVO nicht auch auf andere Vertragsformen ausgeweitet werden kann.

Beim Ausbau der Videoüberwachung auf Linie mit der Bundesregierung

Beim Thema Videoüberwachung lagen bereits die Empfehlungen der Ausschüsse auf dem Kurs der Bundesregierung. Statt einer Korrektur fordert der Bundesrat nun sogar eine Erweiterung der Regeln zur Videoüberwachung: Der geplante Paragraph soll nach ihrem Willen um eine Klarstellung ergänzt werden, die die Rechtmäßigkeit einer „flächendeckende[n], tageszeit-unabhängige[n] Videoaufzeichnung in öffentlichen Verkehrsmitteln sicherstellt“. Zudem soll die Speicherung von Videoaufzeichnungen für mindestens sieben Tage ermöglicht werden. Bislang sieht der Entwurf der Bundesregierung vor, „die Daten […] unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.“

Außerdem hat es auch die Prüfbitte, ob das mit der DSGVO neu geschaffene Recht auf Datenportabilität eingeschränkt werden kann, in die Stellungnahme des Bundesrates geschafft. Dieses Recht soll es Betroffenen ab Mai 2018 eigentlich ermöglichen, von Firmen und Behörden eine Herausgabe der bei ihnen über die eigene Person gespeicherten Daten in maschinenlesbarer und strukturierter Form zu verlangen. Damit soll zum Beispiel der Wechsel von Plattformen und Diensten einfacher gemacht werden. Die DSGVO sieht in Artikel 12 allerdings ohnehin bereits explizit vor, dass Verantwortliche bei einer „exzessiven“ Nutzung der Betroffenenrechte wie jenem auf Datenportabilität Gebühren erheben oder den Antrag verweigern können.

Ebenfalls in der finalen Positionierung enthalten ist die Bitte, Paragraph 26 zum Beschäftigtendatenschutz so zu fassen, dass die Einverständniserklärung eines Arbeitnehmers zur Verarbeitung seiner Daten durch den Arbeitgeber nicht mehr schriftlich erfolgen muss.

Nachbesserungen bei Scoring, Zweckbindung und Recht auf Datenlöschung gefordert

Die Stellungnahme des Bundesrates enthält nach wie vor Aufforderungen, die von der Bundesregierung vorgesehene Einschränkung des Rechts auf die Löschung der über eine Person gespeicherten Daten abzuschwächen. Dieses „Recht auf Vergessenwerden“ soll von datenverarbeitenden Stellen nicht, wie von der Bundesregierung vorgesehen, mit der Begründung eingeschränkt werden können, dass dies „nur mit unverhältnismäßig hohem Aufwand möglich“ sei.

Auch die sehr dehnbaren Regelungsvorschläge zum Entfallen von Informationspflichten, wenn die Daten nicht bei den Betroffenen direkt erhoben, sondern zum Beispiel bei einem Adresshändler erworben wurden (§ 33), sollen gestrafft werden. So soll es nach dem Willen des Bundesrates nicht als Grund für eine Ausnahme von der Pflicht zur Information der Betroffenen gelten, wenn diese „allgemein anerkannte Geschäftszwecke des Verantwortlichen erheblich gefährden würde“.

Zudem fordert der Bundesrat die über das von der DSGVO ermöglichte Maß hinausgehende Einschränkung der Zweckbindung bei von Unternehmen verarbeiteten Daten zu korrigieren und beim Thema Scoring gründlich nachzubessern.

Fazit

Insgesamt fällt die Positionierung der Länderkammer nun schwächer aus, als es möglich gewesen wäre. Dass der Bundesrat Nachbesserungen bei Lösch- und Auskunftsrechten fordert, ist jedoch ein gutes Zeichen, auch wenn er sich dem Datenschutzabbau der Bundesregierung nicht auf ganzer Linie entgegen stellt.

Hinweis: In einer früheren Fassung des Textes hieß es, der Bundesrat wolle bei § 34 gar nicht nachbessern. Wir haben das korrigiert und dementsprechend auch unser Fazit angepasst. Dank an Florian für den Hinweis!

2 Ergänzungen

  1. danke für den guten Artikel zu einem wichtigen Thema. Allerdings kann ich den ersten Kritikpunkt hinsichtlich der Auskunftsrechte nicht ganz nachvollziehen. Nach Wunsch des Bundesrats ist § 34 Absatz 1 Nummer 2 wie folgt zu fassen:

    „2. im Fall einer öffentlichen Stelle die Daten ausschließlich Zwecken der Datenschutzkontrolle dienen oder der Datensicherung, um die Wiederherstellung der für Aufgaben im Sinne des Artikel 6 Absatz 1 Buchstabe e DSGVO erforderlichen Daten bei Verlust zu ermöglichen, und wenn eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist“.

    Darin findet sich die Ausnahme hinsichtlich des „unverhältnismäßigen Aufwands“ nicht mehr. Außerdem bezieht sich dieser Punkt nur noch auf öffentliche Stellen. Auch die entsprechende Begründung ist imho ziemlich deutlich.

    1. Hi Florian, stimmt, vielen Dank für den Hinweis! Ich habe übersehen, dass es da noch einen Auffangvorschlag gab, falls der weitergehende (komplette Streichung §34 Abs1 Nr2) gelöscht wird. Manchmal ist es ja ein Grund zur Freude, wenn man sich irrt. Da das so ein zentraler Punkt ist, macht das die Stellungnahme in meinen Augen echt ein gutes Stück besser.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.