Dies ist ein Gastkommentar von Dr. Heinrich Dorn, der in der Privatwirtschaft seit einigen Jahren als betrieblicher Datenschutzbeauftragter tätig ist. Ihn verwundert, dass die geplante Absenkung des deutschen Datenschutzniveaus durch das sogenannte „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)“ in der Öffentlichkeit und Presse so wenig Beachtung findet.
Die geplanten neuen deutschen Datenschutzregeln (DSAnpUG-EU), die insbesondere ein vollständig neues Bundesdatenschutzgesetz (BDSG-neu) sowie Regelungen zur Datenverarbeitung durch Sicherheitsbehörden enthalten, sind ein Schlag des Bundesinnenministeriums (BMI) gegen Bürgerrechte. Die öffentlichen Äußerungen, die Bundesinnenminister Thomas de Maizière zum Gesetzesentwurf verbreitet, widersprechen so offensichtlich den tatsächlichen Regelungen des Gesetzes, dass der Trendbegriff „Fake News“ strapaziert werden muss.
Das BMI versucht die Einschränkung der Betroffenenrechte durch eine deutliche Absenkung des hohen Schutzniveaus, das die ab Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) bieten könnte. Man will auf nationaler Ebene – meist unter Verstoß gegen Europarecht – regeln, was politisch im Gesetzgebungsprozess auf EU-Ebene nicht erreicht werden konnte. Das führt zu einer massiven Rechtsunsicherheit für Bürger und Unternehmen, da viele Regelungen des BDSG europarechtswidrig sind, was erst durch Gerichtsverfahren geklärt werden wird.
Vorsätzlich falscher Ausgangspunkt der Neuregelung des BDSG
In der Einleitung des Gesetzentwurfes (PDF) schreibt das BMI, mit dem neuen BDSG sei ein „reibungsloses Zusammenspiel [der EU-Datenschutzgesetze] mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen“. Fakt ist demgegenüber: Das BMI verwendet ein Synonym für „das BDSG verstößt weitgehend gegen Europäisches Recht“. Denn derzeit verstoßen einige Regelungen des BDSG gegen die derzeit gültige EG-Datenschutzrichtlinie 95/46. Dies hat der EuGH zuletzt in dem von Patrick Breyer erstrittenen Urteil zur Speicherung von IP-Adressen für deutsche Normen zweifelsfrei entschieden (Urteil vom 19.10.2016 – Rs. C-582/14; zuvor u. a. zum spanischen Recht (Urteil vom 24.11.2011 – Rs. C-468/10, C-469/10). Aus der EuGH-Rechtsprechung folgt, dass nationale Datenschutzgesetze nicht „ausdifferenziert werden dürfen, sondern die Vorgaben EU-Rechts einhalten müssen“. Das gilt natürlich erst Recht für die unmittelbar und direkt anwendbare DSGVO (deren Öffnungsklauseln eng beschränkt sind).
Die Bundesrepublik war Beklagte in dem Verfahren in Sachen Breyer. Auch die Stellungnahmen in der Verbändeanhörung haben das thematisiert. Das BMI kennt die Rechtslage also sehr genau, aber ignoriert sie. Damit nicht genug: Im Vorwort lesen wir weiter, das neue BDSG würde „[i]m Interesse einer homogenen Entwicklung des allgemeinen Datenschutzrechts“ novelliert. Jedoch ist das Gegenteil der Fall, wie die nachfolgenden Beispiele zeigen.
Folgen der postfaktischen Gesetzesbegründung
Versucht wird eine massive Einschränkung der Rechte der Betroffenen (also jeder natürlichen Person, auf die sich die gespeicherten Informationen beziehen) gegenüber der DSGVO:
- Die DSGVO sieht vor, dass Betroffene umfangreich über die Datenverarbeitung zu informieren sind, wenn ihre personenbezogenen Daten erhoben werden (was meist in einer Datenschutzerklärung erfolgt). In Deutschland soll das nicht gelten, wenn es einen „unverhältnismäßigen Aufwand erfordern würde“ und der Betroffene ein geringes Interesse an der Information habe (§ 32 Abs. 1 Nr. 1 BDSG-neu). Das ist eine kuriose Regelung, da bei einer Direkterhebung der Verantwortliche in Kontakt mit dem Betroffenen steht und er ihn somit informieren kann. Nach Nr. 3 der Norm soll ein privates Unternehmen die Informationserteilung auch bei einer möglichen Gefährdung der öffentlichen Sicherheit und Ordnung verweigern können.
- Wenn die Daten nicht beim Betroffenen erhoben werden (sondern z. B. bei einem Adresshändler) soll ebenfalls keine Information des Verantwortlichen an den Betroffenen erforderlich sein, wenn dadurch der Geschäftszweck erheblich gefährdet würde (§ 33 Abs. 1 Nr. 2 Buchst. a BDSG-neu). Trotz des Hinweises auf die Interessen von Betroffenen sollen durch Übernahme der bisherigen Einschränkung in § 33 Abs. 2 Satz 1 Nr. 7 Buchst. b BDSG-alt Geschäftsmodelle geschützt werden, die auf Datenhandel oder der Online-Erhebung möglichst vieler Daten aus diversen Quellen beruhen. In solchen Fällen soll dem Betroffenen weiterhin sein Auskunftsrecht über seine verarbeiteten Daten vorenthalten werden (§ 34 Abs. 1 Nr. 1 BDSG-neu).
- Die Pflicht zur Löschung nicht mehr benötigter Daten, die dem Verantwortlichen obliegt, soll entfallen, wenn sie nur „mit unverhältnismäßig hohem Aufwand möglich“ sei (§ 35 Abs. 1 S. 1 BDSG-neu). Selbst wenn Satz 2 stattdessen eine Einschränkung (früher: Sperrung) vorsieht, ist das ein Freibrief an Unternehmen, keine Datenlöschungen mehr vorzunehmen.
Fazit zur geplanten Novellierung des BDSG
Zu den aufgezeigten Einschränkungen der Rechte Betroffener gegenüber der DSGVO sagt de Maizière in der Pressemitteilung des BMI, man handele „[i]m Interesse der Betroffenen“. Durch den nationalen Alleingang und die massiven Einschränkungen der DSGVO-Regelungen würden wir einen „großen Schritt zur Angleichung der Datenschutzregelungen in Europa“ machen. Durch die offensichtlichen Verstöße gegen Europarecht „schaffen [wir] zugleich Rechtssicherheit“. Die öffentlichen Äußerungen stehen in diametralem Gegensatz zu den tatsächlich vorgeschlagenen Regelungen.
Denkt de Maizière wirklich, die Öffentlichkeit würde diese Lügen nicht bemerken? Zumindest sieht es so aus, als ob das BMI damit „durchkommen“ würde. Widerstand aus dem SPD-geführten Bundesministerium für Justiz und Verbraucherschutz ist nicht zu sehen, der Bundesrat kritisiert nur Details (und verlangt öfters weitergehende Einschränkungen der Betroffenenrechte). Da passt es, dass die 1. Lesung des Gesetzesentwurfs auf 23.45 Uhr angesetzt waren und nur dreißig Minuten vorgesehen sind. Erste Proteste wirkten: Das Gesetz wird bereits um 17.15 Uhr verhandelt werden – ein Gesetz, das nicht nur die Wirtschaft massiv zu Lasten der Bürger bevorzugen soll, sondern das zugleich den Sicherheitsbehörden weitreichende Rechte einräumen soll.
Die Nebelkerzen sind gezündet, noch manche nächtliche Aktion wird bevorstehen. Das postfaktische Gesetz wird bald in Kraft treten, wenn sich nicht bald Widerstand in der Presse und der Zivilgesellschaft regt.
Könnt ihr den Satz mal überprüfen? „Das BMI versucht, die Einschränkung der Betroffenenrechte durch eine deutliche Absenkung des hohen Schutzniveaus, das die ab Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) bieten könnte.“
Irgendwie fehlt mir hier ein Verb… Oder ich bin die Schwachstelle…
Der Fehler liegt im ersten Komma nach „versucht“, das da nicht hingehört.
Man könnte auch schreiben „Das BMI versucht damit eine Einschränkung der Betroffenenrechte…“
Danke, der Fehler ist nun korrigiert.
Constanze Kurz, auch im Urlaub, unerbittlich im Kampf, gegen falsch gesetzte Kommas,
Kommata! :}
@Constanze: Kann man sich lt. Duden aussuchen und überhaupt befinde ich mich immer noch in der Umlernphase, weg von „Beistrich“. Letzteres bringt immer alle zum Lachen, ich weiß auch nicht, wieso.
Danke!
Bin bei einem grösserem Unternehmen für meinen nicht ganz kleinen Bereich auch für Datenschutz der praktisch Anweisende. Poinierte fundierte Argumente helfen mir ein auch moralisch vertretbares Niveau zu halten. Mehr, bitte.
Und wieder einmal handelt die Regierung unter der ehemaligen FDJ-Sekretärin für Agitation und Propaganda für das SED-Unrechtsregime der ehem. DDR als Bundeskanzlerin nach dem Motto: legal – illegal – scheißegal.
Es wird immer wieder vergessen, dass laut Art. 65 GG ausschließlich der/die Kanzler/in die Richtlinienkompetenz hat und bestimmt, wo es in der Regierung lang geht.
Jetzt wird die Grunflage geschaffen dem Zweigespann in unserer westlichen Zivilisation nämlich Arbeitnehmer und Konsument noch einen dritten Gesellen hinzuzufügen das „digitale Ich“. Es dient als Mittel um als Arbeitnehmer und Konsument in den Kopf zu „krabbeln“. Um jeden Einzelnen in diesen Bereichen vorhersagbar und lenkbar zu machen mit dem Wissen, welches wir bereitwillig preisgeben. Der Dritte im Bunde sorgt dafür, dass die beiden Ersteren noch profitabler ausgenutzt werden können. An sich keine schlechte Sache nur Schade, dass der Staat (BMI) als „Linienzieher“ und „Grenzschützer“ immer der Wirtschaft hinterherläuft und den Bürger als eine anonyme, schlecht unterrichtete masse betrachtet. Wenn es sich da mal nicht täuscht. So ein Gesetz soll ja auch eine Weile gelten dachte ich immer, aber heute handelt der Gesetgeber wie ein Unternehmer nach dem Motto: wir schreiben ertmal rein was wir wollen und/oder was wir mit unser Wirtschaftslobby vereinbart haben und werden dann sehen, wenn hoffentlich nicht geklagt wird, was von den nachfolgenden Gerichtsverhandelungen dann noch übrigbleibt. Kein wirklich gutes Vorbild für unsere Gesellschaft. Dass lässt die Verrohung, Teilnahmslosig´keit und Wut in der Gesellschaft weiter steigen.
Bedenklich…….
Bitte bleibt an der Sache für uns dran!
Man könnte es auch so sagen „Der digitale Sklavenmarkt ist eröffnet, das Dutzend zu einem Drittel!“
Wir werden an die Datenhändler verkauft und da die betroffenen kein Interesse haben, wie es bei Sklaven eben so sein muss, müssen wir eben gehorchen!
Also, ich wähle „Die Linke“, auch wenn es hier keinem passt!