Große Koalition will neues Datenschutzgesetz diese Woche verabschieden – Sachverständige äußern massive Kritik [Update]

Auch wenn die Große Koalition kurzfristig etwas nachbessert: Die gestrige Bundestagsanhörung zur eiligen Datenschutzreform hat so viel Kritik zusammengebracht, dass sie bis Donnerstag unmöglich aufgenommen werden kann. Wenn das Parlament sich selbst ernst nimmt, darf es das Gesetz so nicht verabschieden.

Blick vom Kanzleramt auf den Bundestag. Das Eilverfahren zur Einführung des neuen Datenschutzgesetzes sei dem Parlament „unwürdig“, findet Grünen-Politiker Konstantin von Notz. CC-BY-SA 4.0 Ingo Dachwitz

Die Große Koalition macht beim neuen Datenschutzgesetz weiter Tempo: Trotz erheblicher Kritik von Bundesrat, Datenschutzbehörden, Zivilgesellschaft und Bundestagsopposition soll das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) überraschend noch in dieser Woche verabschiedet werden. Eine öffentliche Anhörung des Innenausschusses fand erst gestern Vormittag statt. [Update: Die Abstimmung wird laut Bundestagsquellen nun doch „erst“ Ende April stattfinden. Grüne und Linke haben die Möglichkeiten der Geschäftsordnung genutzt und einem Fristverzicht nicht zugestimmt, der für das Schnellverfahren nötig gewesen wäre.]

Dabei äußerten sich die acht Sachverständigen mehrheitlich kritisch zu relevanten Aspekten des Gesetzes. Die meisten von ihnen betonten das Anliegen einer EU-weiten Rechtssicherheit im Datenschutz. Mehrfach fielen die Begriffe verfassungs- und vor allem europarechtswidrig. Nachbesserungsbedarf wurde unter anderem bei der geplanten Beschränkung von Betroffenenrechten, der Datenschutzaufsicht und dem Thema Videoüberwachung deutlich. Mit einem Änderungsantrag [PDF], den Ausschussmitglieder und Sachverständige erst direkt vor der Sitzung erhielten, wollen Union und SPD zumindest bei den Betroffenenrechten nachbessern.

Große Koalition überrumpelt Opposition

Die Sitzung des Innenausschusses begann mit einem Knall. Nicht nur der Änderungsantrag wurde von den Abgeordneten der Großen Koalition erst kurz zuvor verteilt: Die Information, dass sie das umstrittene Gesetz bereits am Donnerstag beschließen wollen, stieß auf scharfe Kritik der Opposition. Dies verstoße gegen die interfraktionelle Absprache, das Gesetz nicht in dieser, sondern erst in der nächsten Sitzungswoche Ende April abschließend zu behandeln, monierte Petra Pau von der Linkspartei. „Parlamentarischen Prinzipien und diesem Hause unwürdig“ sei das Hau-Ruck-Verfahren, mit dem das Gesetz durch die Institutionen gejagt werde, so Konstantin von Notz. „Wie soll man hier im Bundestag seriös Gesetze machen, wenn das so läuft“, fragte der sichtlich fassungslose Grünen-Politiker.

Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz wird das bisherige Bundesdatenschutzgesetz abgelöst. Notwendig ist dies, weil die ab Mai 2018 anzuwendende europäische Datenschutzgrundverordnung (DSGVO) und die Datenschutzrichtlinie für Polizei und Justiz der EU weitreichende Vorgaben machen. Nach Einschätzung von Datenschützern gehen die nun vorgeschlagenen Änderungen aber weit über den notwendigen Regelungsbedarf hinaus. Eine gewisse Zeitnot stritten auch Pau und von Notz nicht ab. Die EU-Vorgaben gelten ab Mai 2018 und müssen bis dahin umgesetzt sein. Das Parlament verzwerge sich jedoch selbst, wenn es sich nicht die Zeit für eine ordentliche Bearbeitung eines so zentralen Gesetzes lasse, so von Notz.

Diesen Vorwurf wollte der SPD-Berichterstatter für das DSAnpUG, Gerold Reichenbach, nicht auf sich sitzen lassen. „Wenn einem die inhaltlichen Argumente ausgehen, schreit man Skandal“, konterte der Sozialdemokrat. Das Gesetz sei in jedem Entstehungsstadium seit dem ersten Entwurf vor einem dreiviertel Jahr öffentlich diskutiert worden – unter anderem dank entsprechender Leaks. Von überzogener Eile könne deshalb keine Rede sein, betonte Reichenbach und legte direkt nach: „Jetzt findet man kein Haar mehr in der Suppe und neigt deshalb den Kopf so lange darüber und schüttelt ihn, bis eins hineinfällt.“

Getätigt hat Reichenbach diese Aussage freilich vor der Anhörung. Ob er sie in dieser Form danach ebenfalls getätigt hätte, ist fraglich. Schließlich förderten die Sachverständigen ganze Haarbüschel an problematischen Regelungen zutage.

Wirtschaft und Verbraucher müssten Rechtsunsicherheiten ausbaden

Fast Durchweg kritisch beurteilt wurden die Pläne, Informationspflichten von Datenverarbeitern und Auskunfts- sowie Löschrechte von Betroffenen einzuschränken, wenn erstere einen „unverhältnismäßig hohen Aufwand“ geltend machen könnten oder „allgemein anerkannte Geschäftszwecke“ gefährdet sähen. Einzig Rechtsanwalt Andreas Jaspers von der eher wirtschaftsnahen Gesellschaft für Datenschutz und Datensicherheit fand an diesen Beschränkungen der informationellen Selbstbestimmung nichts auszusetzen. Es sei praxisfern, Betroffenen beispielsweise eine Teillöschung bestimmter über sie gespeicherter Inhalte zu ermöglichen, die in Datenbanken eingebunden und verknüpft seien.

Lina Ehrig vom Verbraucherzentrale Bundesverband kritisierte, das Gesetz könne in der aktuellen Form Unternehmen möglicherweise ermutigen, Datenverarbeitungen genau so zu gestalten, dass sie sich bei Auskunfts- oder Löschersuchen auf einen zu hohen Aufwand berufen könnten. Auch die Bundesdatenschutzbeauftragte Andrea Voßhoff und ihr Vorgänger Peter Schaar kritisierten die Gesetzesfassung. Ebenso Rechtsanwalt Carlo Piltz, der die engen Spielräume der europäischen Vorgaben betonte. Hier gelte eben nicht „viel hilft viel“. Alles, was über die DSGVO hinausgehe, erhöhe die Rechtsunsicherheit. Ausbaden müssten dies am Ende die Wirtschaft, andere datenverarbeitende Stellen wie Vereine und letztlich die Betroffenen. Deshalb seien hier punktuelle Nachbesserungen erforderlich, so Piltz, selbst wenn er den Gesetzentwurf im Gesamten für gelungen hält.

Ähnlich äußerte sich Heinrich Amadeus Wolff von der Universität Bayreuth über den Gesetzentwurf. Er zeigte sich überrascht, dass „die Ministerialbürokratie so etwas Schönes hervorbringen kann“. Der ehemalige Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern, Karsten Neumann, kritisierte über die schon genannte Beschränkung der Betroffenenrechte hinaus, dass die bislang geltende Auskunftsverpflichtung über die angewendeten Datenschutzverfahren eines Unternehmens entfalle.

Tatsächlich will die Große Koalition beim Thema Betroffenenrechte kräftig nachbessern. Der kurzfristig eingebrachte Änderungsantrag [PDF] will die Einschränkungen der Informationspflichten für datenverarbeitende Stellen und der Auskunfts- und Löschrechte von Betroffenen abschwächen. Unternehmen sollen sich nicht mehr im geplanten Maße auf einen „unverhältnismäßigen Aufwand“ oder die Gefährdung „allgemein anerkannter Geschäftszwecke“ berufen können. SPD-Politiker Reichenbach erklärte hierzu nach der Sitzung:

Die weitreichenden Einschränkungen der Betroffenenrechte müssen auf wenige und konkret gefasste Fälle beschränkt werden, bei denen es um den Schutz von Kleinunternehmen mit überwiegend analoger Datenverarbeitung geht. Wir wollen den Verbraucher vor den Datenkraken schützen, ohne von dem kleinen Bäckerladen sinnlosen Aufwand zu fordern.

Rückfall hinter bisherige Standards

Die Kritik der Sachverständigen erschöpfte sich jedoch nicht beim Thema Betroffenenrechte. Mehrere von ihnen kritisierten, das Gesetz schwäche die Datenschutzaufsicht insbesondere über staatliche Stellen. Die Bundesdatenschutzbeauftragte Andrea Voßhoff monierte die Beschränkung ihrer Durchsetzungsbefugnisse gegenüber Justiz und Polizei auf das unverbindliche Instrument einer Beanstandung. Dies verstoße klar gegen die EU-Vorgabe, die etwa Möglichkeiten zur Erwirkung einer gerichtlichen Klärung vorschreibe. Auch solle ihre Behörde sich zukünftig nicht mehr proaktiv mit Stellungnahmen zu Untersuchungen beim Bundesnachrichtendienst an den Bundestag und seine Ausschüsse wenden können, so Voßhoff. Dies sei eine verfassungs- und europarechtswidrige Beschneidung ihrer Unabhängigkeit und zugleich eine Einschränkung des Informationsrechts des Bundestages.

Zur gleichen Einschätzung gelangte Hartmut Aden, Professor für Öffentliches Recht an der Hochschule für Wirtschaft und Recht Berlin. Gerade weil die Datenverarbeitung im Sicherheitsbereich unter besonderen Bedingungen stattfinde und Betroffene nicht etwa durch ungewollte Werbung darauf aufmerksam gemacht würden, sei die unabhängige Datenschutzaufsicht hier von besonderer Bedeutung. Gerade angesichts der weiteren Zersplitterung der Geheimdienstkontrolle durch das BND-Gesetz im vergangenen Jahr dürften die Aufsichtskompetenzen der Bundesdatenschutzbeauftragten hier keinesfalls eingeschränkt werden.

Aden äußerte zudem Bedenken, die weitreichenden Möglichkeiten zur Zweckänderung bei der Verwendung bereits erhobener Daten durch öffentliche Stellen würden „hinter den bisherigen Rechtsschutzstandard zurückfallen“. Hier herrsche erheblicher Präzisierungsbedarf. Die teils sehr unbestimmten Formulierungen in einem so grundrechtssensiblen Bereich würden gegen das rechtsstaatliche Bestimmtheitsgebot verstoßen, demzufolge die Folgen eines Gesetzes für Bürger absehbar sein müssen.

Warnung vor kontrollfreien Räumen

Einige Sachverständige kritisierten zudem, dass die Befugnisse der Datenschutzaufsicht über Berufsgeheimnisträger ebenfalls eingeschränkt werden sollen. Bestimmte Berufsgruppen, die einer gesetzlichen Schweigepflicht unterliegen, sollen nach dem Vorschlag der Bundesregierung nicht mehr dazu verpflichtet werden, den Kontrollbehörden Zutritt zu ihren Geschäftsräumen zu gewähren oder notwendige personenbezogene Daten und Informationen auszuhändigen. Gleiches gilt für von ihnen beauftragte Dienstleister.

Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar warnte gegenüber netzpolitik.org nach der Anhörung, dass dies nicht nur für Krankenhäuser, Arztpraxen und Anwalts- oder Notariatskanzleien, sondern auch für Apotheken, Steuerberatungs- und Buchführungsbüros sowie für Unternehmen der privaten Kranken-, Unfall- oder Lebensversicherung gelte:

Die von den Regierungsfraktionen vorgesehene Neuregelung wäre ein fatales Signal gegenüber allen, denen ein effektiver Schutz der Privatsphäre wichtig ist. Ein derartiger aufsichtsfreier Raum widerspricht den Vorgaben des Bundesverfassungsgerichts, das eine lückenlose Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch unabhängige Datenschutzbehörden für unverzichtbar hält.

Gleichermaßen betonte Andrea Voßhoff das Risiko kontrollfreier Räume im Gesundheitsbereich. Karsten Neumann schlug vor, den entsprechenden Satz zu streichen. Der Geheimhaltungspflicht würde Genüge getan, wenn sie auch für die Aufsichtsbehörde gelte, sofern diese im Rahmen ihrer Arbeit Kenntnis solcher Daten erhalte. Der Rechtswissenschaftler Wolff sowie die Rechtsanwälte Jaspers und Piltz sahen diesen Punkt hingegen weniger kritisch. Ihrer Ansicht nach genüge es, wenn die Datenschutzaufsicht die Konzepte prüfen würde. Zugang zu Räumen und Daten sei nicht unbedingt notwendig.

Ratlosigkeit bei Profiling und Scoring

Eine gewisse Ratlosigkeit herrschte beim Thema Profiling und Scoring. Von Verbraucherschützerin Lina Ehrig gab es hier einerseits Lob dafür, dass die Regelungen des alten Bundesdatenschutzgesetzes hierzu dem Inhalt nach in das neue Gesetz übernommen werden sollen. Die bisherigen Verbraucherschutzregeln wären Ehrig zufolge durch die DSGVO unterschritten worden und hätten so ein Scoring ausschließlich anhand der Wohnanschrift ermöglicht. Gleichzeitig betonte sie, es bedürfe eigentlich einer Konkretisierung oder gar Verschärfung der Regeln. In ihrer schriftlichen Stellungnahme monierte sie zudem, dass es Versicherungen künftig erlaubt werden soll, Leistungsentscheidungen auf Basis von Gesundheitsdaten automatisiert zu treffen.

Der Berichterstatter der Unionsfraktion für das DSAnpUG, CSU-Politiker Stephan Mayer, brachte in diesem Zusammenhang seine Sorge zum Ausdruck, etablierte Geschäftsmodelle in den Bereichen Direktmarketing, Inkasso und Auskunfteien durch die Datenschutzgrundverordnung würden unterminiert. Die Antworten der Sachverständigen Neumann und Jaspers hierzu waren jedoch eindeutig. Selbst wenn dem so wäre: Der Bundestag habe seine Regelungskompetenz hier an die EU abgegeben. In welchem Rahmen etwa die Beauftragung von Inkasso-Unternehmen rechtens sei, müsse der Europäische Datenschutzausschuss klären, so Jaspers. Anerkannte Methoden des Customer Relationship Managements könnten im Grunde vermutlich fortgeführt werden.

Heinrich Amadeus Wolff betonte, dass Scoring- und Profiling-Regeln im Datenschutzgesetz lediglich ein Hilfskonstrukt und deshalb ein Fremdkörper seien. Ehrig machte deutlich, es handele sich hierbei eigentlich um Verbraucherschutzregeln und diese benötigten ein eigenes Gesetz. Karsten Neumann empfahl, dieses wichtige Feld nicht mehr primär über das Querschnittsrecht des Datenschutzes zu regeln, sondern zu einem eigenen fachspezifischen Gesetz zu kommen.

Vorschlag zur Videoüberwachung ist europarechtswidrig

Unterschiedliche Meinungen hatten die Sachverständigen ebenfalls beim Thema Beschäftigtendatenschutz. Einige sprachen sich dafür auf, die Vorschrift beizubehalten, dass das Einverständnis eines Arbeitsnehmers zur Datenverarbeitung durch den Arbeitsgeber schriftlich vorliegen muss. Andere sprachen sich dafür aus, eine Zustimmung in elektronischer Textform ohne handschriftliche Unterschrift solle ausreichen.

Durchweg kritisiert wurde der Gesetzesabschnitt, der einen Ausbau der Videoüberwachung durch Privatpersonen und Unternehmen im Interesse der öffentlichen Sicherheit ermöglichen soll. Er ist der Großen Koalition jedoch so wichtig, dass sie die gleichen Regeln durch das Videoüberwachungsverbesserungsgesetz bereits vor wenigen Wochen noch in das aktuelle Datenschutzgesetz aufgenommen hat. Während Piltz und Wolff hier „lediglich“ formalrechtliche Bedenken hinsichtlich der Vereinbarkeit mit Europarecht hatten, meldeten Voßhoff, Schaar und Neumann inhaltliche Zweifel an.

Signalwirkung für Europa

Insgesamt kam trotz angekündigter Nachbesserungen in der Anhörung eine Menge Kritik am Datenschutzanpassungs- und Umsetzungsgesetz zusammen. Bei der teils großen Detailtiefe geriet dennoch der weitere Kontext nicht aus dem Blick.

Peter Schaar betonte Deutschlands große Datenschutztradition. Die Bundesrepublik sei schließlich weltweit das erste Land mit einem entsprechenden Gesetz gewesen. Wenn man sich jetzt gegen die gemeinsamen europäischen Regeln stelle, werde dies Symbolwirkung für den Rest Europas haben. Im schlimmsten Fall habe man wieder 27 unterschiedliche Datenschutzräume.

Auch Carlo Piltz wies mehrfach auf die Notwendigkeit klarer und einheitlicher Regeln hin. Dass einige Datenschutzbehörden im Konfliktfall nach der DSGVO und nicht nach dem neuen Datenschutzgesetz entscheiden wollen, sorge für weitere Rechtsunsicherheit. Die Haltung der Datenschützer sei indes berechtigt, da Behörden deutsches Recht nicht anwenden dürfen, das gegen europäische Vorgaben verstößt. Es ist also an der Großen Koalition, die gestern benannten Konflikte mit dem Europarecht noch vor der Verabschiedung des DSAnpUG auszuräumen. Ob dies bis Donnerstag gelingen kann, darf bezweifelt werden.

8 Ergänzungen

  1. Eigentlich ein sehr toller Artikel, der dezidiert die massiven Probleme dieses Gesetzesvorhabens beschreibt, Aber dann steht in der Überschrift soetwas:

    Wenn das Parlament sich selbst ernst nimmt, darf es das Gesetz so nicht verabschieden.

    Entschuldigung, auch auf die Gefahr hin, daß das hier wegen Mißfallens gelöscht wird: Ich frage mich, ob Leute, die soetwas schreiben, in einer Phantasiewelt leben. Wieviel Schwachsinn muß noch im Bundestag verabschiedet werden, und das auch noch im Eilverfahren, bis diese Leute in der Realität ankommen? Wenn sich die Parlamentarier überhaupt Gedanken zu dem Thema machen, werden am Ende Bauchschmerzen herauskommen, mit denen sie zustimmen. Gerade jetzt, wo die Landeslisten zusammengestellt werden, ist Linientreue wichtiger denn je für die eigene Zukunft. Parlamentarische Demokratie – Diskussion, Meinungsbildung, Gewissensentscheidung – ist auf jeden Fall nicht mehr gefragt. Der Rest, den wir zu sehen bekommen, ist nichts als Theater. Mit unserer Demokratie läuft so einiges schief, und es ist keine Besserung in Sicht.

    Ob Maut, Datenschutz oder Autobahnprivatisierung: Es wird jetzt alles mit roher Gewalt, gnadenlos durch’s „Parlament“ gejagt. Da hält man sich nicht mit Fakten auf. Ich bin mir nur noch nicht sicher, warum. Schnell noch Fakten schaffen, Posten schaffen, Versprechen gegenüber der Industrie einlösen, eigene Ideologie durchdrücken, vor einer möglichen Veränderung? Oder ist der Moment einfach nur günstig? Flüchtlinge, Brexit, Trump, Erdoğan willkommene (oder sogar genährte) Ablenkung?

    1. Nachtrag: Ich schrieb: „…und keine Besserung in Sicht“. Es wird keine Besserung geben, solange die Journalisten nicht endlich mal die Finger in die Wunde legen und aufhören, so wohlwollend zu schreiben. Fraktionszwang zum Beispiel ist heute an der Tagesordnung, widerspricht ganz klar dem Grundgesetz. Und, wird das heute noch irgendwo diskutiert? Ein journalistisches Achselzucken, „ist halt so“, ist das einzige, was man so liest. Nur so als Denkanstoß…

  2. Ich habe den halben Bundestag wegen Videoüberwachung und Datenschutzreform angeschrieben.
    Es haben wirklich 9 geantwortet:
    |
    Antworten:
    |
    – Ich kann ihre Fragen nicht beantworten, da sie nicht aus meinem Wahlkreis kommen. Bitte wenden sie sich an ihren Abgeordneten. 6 Antworten diese Art
    |
    – Ich kann ihre Bedenken nicht nachvollziehen, bitte formulieren Sie ihre Fragen neu
    |
    – Es wird sich für den Bürger vieles verbessern, was erst in einigen Jahren Früchte trägt.
    Bei dieser Antwort kam ich ins Grübeln. War von einem SPD Abgeordneten!
    |
    – Eine Antwort war so überheblich, dass ich dies hier nicht schreibe

  3. eigentlich muss man sich fragen, wieso ist sucide in diesem Land verboten, oh wait dann würde die 1 Euro ob sklaven fehlen, ansonsten würden sicher 1 von 2e selbst umlegen.

  4. Tja, ein solches Gebaren, die Termine so vor zu verlegen das die „Mitunterzeichner“ sich die Dokumente nicht mehr durchlesen können, erinnert mich doch da sehr an gewisse Praktiken von Haustürvertretern, die einem billiges Zeug für teuer Geld andrehen wollen!
    Die Vertreter der Großen Koalition sind sich da sicher einig, „Die Anderen“ brauchen nicht zu Wissen, was in den Gesetzen steht, sie sollen sicher nur danach Handeln und ihr Leben danach ausrichten und klar, gefälligst den Vertrag ungelesen Unterschreiben!

    Es scheint doch zu stimmen, Vertreter für Mobilfunkverträge, verkaufen teure Mobilfunkverträge an ahnungslose Omis, Volksvertreter verkaufen das ahnungslose (?, siehe Saarland) Volk an jeden der es haben möchte!

    Es bestätigt sich doch immer wieder, wenn „Pippi Langstrumpf“ Politik machen würde, dann genau so!
    Leider wird die Große Kwarlition im September wieder gewählt und dann wird erst richtig durchregiert, wie hier in Bayern!

  5. „Wenn das Parlament sich selbst ernst nimmt, darf es das Gesetz so nicht verabschieden.“

    Yo, als ob die, die für diesen Dauerfail verantwortlich schreiben, sich daran stören würden.
    Die Interessen eines immer größer werdenden Bevölkerungsanteil werden von den Großparteien, der UnionSPD , immer weniger berücksichtigt.
    Das wird hier, Netzpolitik.org, wie auch woanders mit investigativen Anspruch, nicht erst seit heute immer deutlicher. Im Fernsehen leider immer relativ spaät gesendet -wer Sendungen wie Monitor, Frontal, plusminus kennt, wird wissen, was ich meine.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.