Drohender Datenschutz-Abbau: Bundesinnenministerium plant massive Abweichungen von europäischen Standards

Die Bundesregierung wird in Kürze den Entwurf eines neuen deutschen Datenschutzgesetzes beschließen. Für die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder übt deren Vorsitzende, Barbara Thiel, harsche Kritik an den Plänen des Innenministeriums: Es wolle offenbar Vorstellungen umsetzen, mit denen es sich auf europäischer Ebene nicht durchsetzen konnte.

Wie Firmen und Behörden mit unseren persönlichen Informationen umgehen, wird in Datenschutzgesetzen geregelt. Das Innenministerium plant, diese Regeln für Deutschland zu schwächen.
Foto: Rahel Crowe unter CC0 via unsplash

Am Mittwoch wird das Bundeskabinett voraussichtlich den Entwurf für eine Datenschutzreform verabschieden. Das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG-EU) soll eigentlich nur Dinge regeln, die durch die im Frühjahr verabschiedete und ab Mai 2018 anzuwendende EU-Datenschutzgrundverordnung notwendig wurden. Seit Monaten gibt es jedoch massive Kritik, dass das Bundesinnenministerium nun die Gelegenheit nutzen möchte, seine Vorstellungen von einem schwachen Datenschutz umzusetzen, mit denen es sich auf europäischer Ebene nicht durchsetzen konnte.

Auf einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin hat vergangene Woche auch die Vorsitzende der Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK), Barbara Thiel, eine kritische Bewertung des Gesetzesentwurfs vorgenommen. Ihren Vortrag veröffentlichen wir hier in gekürzter Form als Gastbeitrag. Thiel ist Datenschutzbeauftragte des Landes Niedersachsen und seit Anfang des Jahres DSK-Vorsitzende.

Europäischer Meilenstein

Es ist beschlossene Sache: Die Datenschutzgrundverordnung (DS-GVO) wird nach einer Übergangszeit von zwei Jahren im Mai 2018 in allen europäischen Mitgliedstaaten zur Anwendung kommen.

Ganz Europa bekommt damit ein neues Datenschutzrecht. Die DS-GVO wird ab Mai 2018 das einzige Gesetz sein, das in allen Mitgliedstaaten der Europäischen Union unmittelbar, einheitlich und gleichzeitig die Grundfragen das Datenschutzrechts regelt – ob im privaten oder im öffentlichen Bereich.

Bei aller Kritik, die gegenwärtig geäußert wird, markiert die DS-GVO den bislang wichtigsten Meilenstein des europäischen Datenschutzrechts. Sie stellt zweifelsohne einen bedeutenden Fortschritt für mehr Rechtssicherheit in Fragen des Datenschutzes in Europa dar.

Durch das Rechtsinstrument einer Verordnung und die direkte Anwendbarkeit in allen Mitgliedstaaten herrscht in der EU zukünftig jedenfalls eine deutlich weiter reichende Einheitlichkeit beim Schutz personenbezogener Daten als bisher.

Verordnung mit 70 Öffnungsklauseln

Das Ende des Gesetzgebungsprozesses auf europäischer Ebene stellt zugleich einen nicht weniger bedeutenden Anfang auf nationaler Ebene dar.

Die DS-GVO gilt unmittelbar, sie verdrängt – europarechtlich gesehen – die vorhandenen nationalen Regelungen. Sowohl das BDSG als auch die Landesdatenschutzgesetze müssen daher bis zum 25. Mai 2018 vom Gesetzgeber schon aus Gründen der Transparenz und Rechtssicherheit aufgehoben werden.

Der Wechsel zur Handlungsform der Verordnung täuscht aber leicht darüber hinweg, dass die DS-GVO in der Sache in Teilen keine abschließenden Regelungen trifft. Mit rund 70 Öffnungsklauseln gesteht sie dem nationalen Gesetzgeber reichlich normativen Gestaltungsspielraum für eigene Regelungen zu und weist demnach eher den Charakter einer Richtlinie als den einer Verordnung auf – zu diesem Ergebnis kommt jedenfalls ein Gutachten [PDF] der Professoren Kühling und Martini aus dem Jahr 2016.

Klares Ziel: Harmonisierung

Auf der Basis dieser Einschätzung wurde teilweise bereits zum Zeitpunkt der Verabschiedung der DS-GVO der Schluss gezogen, die EU habe ihr Ziel einer europäischen Vollharmonisierung der Datenschutzgesetzgebung verfehlt (so etwa der Europaparlamentarier Axel Voss, CDU).

Doch es gibt auch andere Einschätzungen. Schaue man sich die so genannten Öffnungsklauseln näher an, heißt es etwa im Umfeld der Europäischen Kommission, dann müsse man erkennen, dass die DS-GVO dem nationalen Gesetzgeber bewusst nicht viel Spielraum lässt und den Mitgliedstaaten nur noch begrenzte Möglichkeiten zu nationaler Rechtsetzung bleiben.

Ich will an dieser Stelle darauf verzichten, mich hinsichtlich der unterschiedlichen Wertungen auf einer abstrakten Ebene festzulegen. Ob und in welchem Umfang die DS-GVO nationale Regelungsspielräume eröffnet und wie diese genutzt werden sollen, ist meines Erachtens letztlich eine Frage, die sich nicht generalisierend beantworten lässt, sondern nur anhand der jeweiligen konkreten Regelungsgegenstände.

Und bei alledem wird man zugleich stets im Blick haben müssen, dass die Öffnungsklauseln (lediglich) den unterschiedlichen Ausgangspositionen der Mitgliedstaaten in dem Prozess der Konvergenz der unterschiedlichen Rechtsordnungen Rechnung tragen und allen Staaten den Weg der Harmonisierung erleichtern sollen.

Gemeinsame Stellungnahme der unabhängigen Datenschutzbehörden

„Stärkung des Datenschutzes in Europa – nationale Spielräume nutzen“ – unter diesem Titel hat sich die DSK in einer Entschließung [PDF] bereits im April letzten Jahres zu den Ausgestaltungsmöglichkeiten positioniert und den nationalen Gesetzgeber dazu aufgefordert, „die in der Grundverordnung enthaltenen Öffnungs- und Konkretisierungsklauseln zu Gunsten des Rechts auf informationelle Selbstbestimmung zu nutzen“.

Seit der Entschließung der DSK sind neun Monate vergangen. Das BMI hatte in dieser Zeit die Aufgabe, zu klären,

  • welche Vorschriften des allgemeinen und bereichsspezifischen deutschen Datenschutzrechts bestehen bleiben können,
  • welche zu modifizieren sind und
  • welcher zusätzlichen Vorschriften es bedarf, um den Anforderungen der DS-GVO gerecht zu werden.

Seit dem 6. Januar liegt nunmehr die dritte Version eines Referentenentwurfes zu einem sog. Datenschutz-Anpassungs- und Umsetzungsgesetz vor. Wir Aufsichtsbehörden haben diesen Entwurf leider erst Mitte Januar erhalten. Ich möchte mich deshalb jetzt der Frage zuwenden, ob und inwieweit diese dritte Version datenschutzrechtlichen Ansprüchen genügen kann.

Öffnungsklauseln nur in Ausnahmefällen nutzen

Dabei gehe ich von folgenden Prämissen aus:

Die Rechtsform der Verordnung zieht als Konsequenz nach sich, dass Öffnungsklauseln grundsätzlich eng ausgelegt und nur in Ausnahmefällen genutzt werden sollten – und dies nur unter Beachtung hoher Rechtfertigungsanforderungen. Keinesfalls dürfen sie genutzt werden, um eigene Regelungen auf nationaler Ebene durchzusetzen, die in der DS-GVO selbst in dieser Form und mit diesem Inhalt gar nicht vorgesehen sind.

Unbedingt zu beachten ist außerdem das Wiederholungsverbot. Abschließend in der Datenschutzgrundverordnung geregelte Sachverhalte dürfen keinesfalls sprachlich oder inhaltlich in nationalen Gesetzen schlicht aufgegriffen werden. Die Datenschutzgrundverordnung ist in diesen Fällen die einzige Rechtsgrundlage, weitere nationale Regelungen sind rechtswidrig.

Ist dem nationalen Gesetzgeber nur die Möglichkeit zu konkretisierenden und abweichenden Regelungen eröffnet, so sollte er angesichts des Ziels der Harmonisierung sparsam mit dieser Möglichkeit umgehen. Sie sollte nur dann genutzt werden, wenn Weiterentwicklungen und Verbesserungen des derzeit geltenden Datenschutzrechts angestrebt sind.

Entwurf des Innenministerium ist enttäuschend

Die Landesbeauftragte für Datenschutz Niedersachsen: Barbara Thiel. Foto: Heike Göttert, alle Rechte vorbehalten.

Nimmt man diese Grundvoraussetzungen und die soeben erwähnten Empfehlungen der DSK [PDF] zum Maßstab, so enttäuscht auch der aktuelle, mittlerweile mehrfach überarbeitete Referentenentwurf, der bekanntlich Anfang Februar im Bundeskabinett beschlossen werden soll. Aus Sicht der DSK zeichnet sich leider auch der aktuelle Entwurf durch eine fehlerhafte Anwendung und Ausfüllung von Öffnungsklauseln aus. Den Erwartungen der DSK wird er allenfalls im Ansatz gerecht. In einigen Punkten ist sogar eine Europarechtswidrigkeit zu befürchten.

Die Öffnungsklauseln werden entweder schlicht wiederholt, womit es an der eigentlich notwendigen konkretisierenden Regelung, etwa in einem Spezialgesetz, fehlt. Vorhandene Öffnungsklauseln werden überdehnt, und es werden Regelungen geschaffen, für die überhaupt keine Öffnungsklausel zur Verfügung steht. Dem nach wie vor geltenden Ziel dieser Datenschutzreform, die Harmonisierung des Datenschutzrechts in Europa, wird diese Vorgehensweise nicht gerecht.

Die DSK befürchtet vor diesem Hintergrund eine Absenkung des Datenschutzniveaus im Vergleich zum bestehenden deutschen Datenschutzrecht, aber auch im Vergleich zu den Wertungen der Grundverordnung selbst.

Einschränkung der Betroffenenrechte

Eine Absenkung des Datenschutzniveaus zeigt sich etwa bei der geplanten Einschränkung der Betroffenenrechte. Diese Einschränkung etwa von Auskunftsrechten steht dem in der DS-GVO ausdrücklich verankerten Grundsatz der Transparenz deutlich entgegen.

Art. 23 DS-GVO erlaubt lediglich dann nationalstaatliche einschränkende Regelungen der Betroffenenrechte, wo dies notwendig und verhältnismäßig ist. An diesem Maßstab müssen sich mögliche Einschränkungen messen.

Die geplanten Regelungen überzeugen kaum. So darf insbesondere die Arbeitserleichterung der Unternehmen durch eine weitgehende Befreiung von der Informationspflicht nicht stärkeres Gewicht erhalten als die Transparenz bei der Datenverarbeitung und die damit verbundene Möglichkeit der betroffenen Personen, die Kontrolle über ihre eigenen personenbezogenen Daten zu behalten.

Die Schaffung einer Ausnahme von der Informationspflicht etwa bei „unverhältnismäßigem Aufwand“ oder bei entgegenstehenden Geschäftszwecken des Verantwortlichen entgegen Art. 13 DS-GVO geht weit über das zugestandene Maß hinaus.

Aufweichung des Schutzes besonders sensibler Daten

Die geplante Ausweitung der Zulässigkeit von Verarbeitung der besonderen Kategorien personenbezogener Daten würde eine eklatante Aufweichung des grundsätzlichen Verbots jeglicher Nutzung dieser besonders sensiblen Daten, wie es das bisherige BDSG und auch die DS-GVO vorsehen, bedeuten.

So soll es den Unternehmen zukünftig in vielen Fällen erlaubt sein, besondere Kategorien personenbezogener Daten zu verarbeiten, ohne dass hier die Verhältnismäßigkeit und die besondere Schutzwürdigkeit dieser besonders sensiblen Daten berücksichtigt werden müssen. Die bisher bekannten Vorschläge des Bundesinnenministeriums gehen damit weit über die eingeschränkten Ausnahmemöglichkeiten, wie sie gegenwärtig beispielsweise im Hinblick auf ein besonderes öffentliches Interesse oder für Forschungszwecke bestehen, hinaus. Gerade in diesem Bereich muss auch der Wille der betroffenen Person einiges Gewicht haben, wenn nicht sogar maßgeblich sein.

Für die Verarbeitung besonderer Kategorien personenbezogener Daten braucht es begrenzende und abwägende Regelungen, keine neuen Ausnahmetatbestände bzw. unspezifische und maßlose Erlaubnisse!

Schwächung der Zweckbindung

Auch die bislang vorgesehenen Möglichkeiten, eine Verarbeitung der Daten zu anderen Zwecken als zu jenen zuzulassen, zu denen sie ursprünglich erhoben wurden, sprengen den von der DS-GVO gesetzten Rahmen.

Die DSK hat daher sehr deutlich gemacht, dass es dem Gesetzgeber nicht zusteht, so weitgehende Regelungen zu schaffen. Der Zweckbindungsgrundsatz ist bekanntlich ein wesentlicher Grundsatz unseres Datenschutzrechts und wurde ausdrücklich von den europäischen Gesetzgebern beibehalten. Ohne eine starke Zweckbindung bei der Datenverarbeitung laufen viele andere wichtige Datenschutzprinzipien letztlich ins Leere. Das gilt insbesondere für den Grundsatz der Transparenz und das Prinzip des Verbots mit Erlaubnisvorbehalt.

Mit der Aufweichung des Zweckbindungsgrundsatzes und den erwähnten Einschränkungen der Betroffenenrechte sollen offensichtlich datenschutzrechtliche Überlegungen aufgegriffen und auf nationaler Ebene umgesetzt werden, die sich im europäischen Gesetzgebungsprozess gerade nicht durchgesetzt haben. Das ist falsch verstandene Diversität! Und gegen diesen Ansatz wendet sich die DSK mit Nachdruck.

Die DS-GVO trägt dem Interesse der Unternehmen am freien Datenverkehr angemessen Rechnung und wahrt zugleich die Betroffenenrechte. Dieses Gleichgewicht wird durch das neue BDSG empfindlich gestört. Die Rechte der Bürgerinnen und Bürger werden beschnitten, um den Aufwand bei Unternehmen und staatlichen Stellen gering zu halten. Hier werden der Wirtschaft Zugeständnisse gemacht, und dieser Weg führt in die falsche Richtung. Datenverarbeitungsprozesse müssen so organisiert werden, dass die Information der Betroffenen ohne signifikanten Mehraufwand sichergestellt werden kann. Technisch ist das schon heute möglich.

Zweckbindung und Transparenz sind zentrale Bausteine der Datenschutzreform. Diese Prinzipien dürfen nicht wirtschaftlichen Interessen geopfert werden.

Immer noch kein Gesetz für Beschäftigtendatenschutz

Auf dem Gebiet des Beschäftigtendatenschutzes können die Mitgliedstaaten bekanntermaßen gemäß Art. 88 DS-GVO spezifische Regelungen treffen. Die DSK hätte sich gewünscht, dass Deutschland endlich ein eigenes Beschäftigtendatenschutzgesetz bekommt, in dem dieser bedeutsame Bereich des Datenschutzrechts endlich einheitlich und vollumfänglich geregelt wird. Das wird ein frommer Wunsch bleiben. Wie auch der letzte Referentenentwurf zeigt, kann allenfalls das Minimalziel erreicht werden, zumindest die bewährten Regelungen der §§ 3 Abs. 11, 32 BDSG beizubehalten.

Wenn der nationale Gesetzgeber sich allerdings dazu entschließt, im Beschäftigungskontext nationale Regelungen zu schaffen, dann müssen diese Vorschriften nach Art. 88 Abs. 2 DS-GVO insbesondere im Hinblick auf die Transparenz der Datenverarbeitung und der Überwachungssysteme am Arbeitsplatz zwingend angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde und der berechtigten Interessen der betroffenen Personen vorsehen.

Insoweit trifft auch der jüngste Referentenentwurf keine zwingenden Aussagen, so dass sich auch an dieser Stelle die Frage der Vereinbarkeit mit den europarechtlichen Vorgaben stellt.

Ausweitung der Videoüberwachung

Mit Befremden hat die DSK auf die Planungen zur Ausweitung der Videoüberwachung öffentlich zugänglicher Räume reagiert.

Die Videoüberwachung soll nun, soweit schutzwürdige Interessen der Betroffenen nicht überwiegen, bei jedem berechtigten Interesse erlaubt sein – dies bedeutet eine deutliche Absenkung des Datenschutzniveaus, wie wir es gegenwärtig haben.

Die DSK hat mit ihrer Entschließung vom November 2016 schon den damals vorgelegten eigenständigen Entwurf eines „Videoüberwachungsverbesserungsgesetzes“ scharf kritisiert. Dieser Vorschlag soll nun offenbar ohne weitere Reflektion in den Entwurf eines neuen BDSG aufgenommen werden.

Mit diesen Regelungen erfolgt zwangsläufig eine Verlagerung von öffentlichen Sicherheitsinteressen auf private Stellen. Dies ist abzulehnen. Es ist nicht Aufgabe privater Stellen, die Sicherheit der Bevölkerung zu gewährleisten. Dies obliegt allein den Sicherheitsbehörden, die über ausreichende landes- und bundesgesetzliche Grundlagen sowohl für die Gefahrenabwehr als auch für die Strafverfolgung verfügen.

Die Regelungen zielen darüber hinaus überwiegend auf Orte, an denen Betroffene ihre Freizeit verbringen. Gerade in diesen Bereichen, in denen sich Menschen typischerweise zur ungezwungenen Kommunikation, Erholung und Entspannung für längere Dauer aufhalten, gilt es, das Persönlichkeitsrecht in besonderem Maße zu schützen.

Wer vertritt Deutschland im europäischen Datenschutzausschuss?

Abschließend möchte ich einen letzten Aspekt erwähnen, den sich die DSK gewissermaßen in eigener Sache auf die Fahnen geschrieben hat. Vorgesehen ist, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) im europäischen Datenschutzausschuss als gemeinsame Vertreterin für alle Datenschutzbehörden einzusetzen.

Aus Sicht der unabhängigen Aufsichtsbehörden der Länder ist dies nicht hinnehmbar. Die föderale Kompetenzordnung spricht vielmehr für eine stärkere Beteiligung der Länder auch auf europäischer Ebene. Wir Landesaufsichtsbehörden sind für die meisten konkreten Fälle im Datenschutzbereich originär zuständig und sollten deshalb auch die Befugnis zur Entscheidung im Europäischen Datenschutzausschuss haben.

Einheitlichen Datenschutz in Europa nicht torpedieren

Uns allen ist bewusst, dass der Gesetzgeber unter einem besonderen Handlungsdruck steht. Angesichts des bevorstehenden Endes der Legislaturperiode im September muss das neue BDSG spätestens Mitte dieses Jahres beschlossen sein.

Auch die Zusammenarbeit mit den einzelnen Bundesländern ist dabei von besonderer Bedeutung, damit auch bei der Erarbeitung neuer Landesdatenschutzgesetze zumindest eine gewisse Harmonisierung der künftig geltenden Regelungen erreicht wird.

Letztlich kommt es jedoch darauf an, das erklärte Ziel der Europäischen Union, ein einheitliches und harmonisiertes Datenschutzrecht in der EU zu schaffen, nicht zu torpedieren. Auch die Wirtschaft dürfte kein Interesse daran haben, wieder mit den unterschiedlichsten Ausnahmetatbeständen im nationalen Recht zu tun zu haben.

Ob und inwieweit es gelingen kann, im Bundesratsverfahren noch entscheidende Korrekturen vorzunehmen, vermag ich gegenwärtig nicht einzuschätzen. Wir als Aufsichtsbehörden der Länder werden uns jedenfalls mit Nachdruck für aus unserer Sicht erforderliche Änderungen einsetzen.

16 Kommentare
    • Ingo Dachwitz 31. Jan 2017 @ 12:19
        • wesendlich 1. Feb 2017 @ 20:47

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Die Kommentar-Regeln findest Du hier.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden