Die gestrige Anhörung des Bundestagsinnenausschusses zu einem Anpassungsgesetz im Bereich des Datenschutzes bot ein gutes halbes Jahr nach dem Start der Datenschutzgrundverordnung (DSGVO) Gelegenheit, ein kritisches Resümee zu ziehen. Die Sachverständigen zeigten sich im Grunde überwiegend zufrieden, machten aber an diversen Stellen Anpassungsbedarf geltend. Einhellige Kritik mehrerer Sachverständiger gab es an der Tatsache, dass Erhebungs- und Verarbeitungsbefugnisse des Staates zu oft mit vagen Formulierungen beschrieben und dadurch nicht klar genug begrenzt werden. Die weiteren Kernthemen spiegeln die aktuelle Diskurslage zur DSGVO gut wieder: Es ging um Verunsicherung durch mögliche Abmahnungen wegen Datenschutzverstößen, um Entlastungen für Unternehmen und um das Verhältnis von Meinungsfreiheit und Datenschutz. Eine bessere Durchsetzung der Datenschutzregeln war kein Thema.
Das „zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ [Gesetzentwurf als PDF] soll laut Bundestag insgesamt 154 einzelne Fachgesetze an die Vorgaben der EU anpassen. Dabei geht es im Wesentlichen um Begriffsbestimmungen und Rechtsgrundlagen. Mehrere Sachverständige [alle Stellungnahmen] kritisierten jedoch, dass diese Formsache von der Bundesregierung mit einschneidenderen Änderungen verbunden wird, die unter anderen aufgrund ihrer grundrechtlichten Relevanz einer eigenen Erörterung bedürften.
Keine Abmahnwelle. Nirgends.
Obwohl mehrere Sachverständige betonten, dass die befürchtete Abmahnwelle ausgeblieben ist, treibt das Thema die Politik auch sechs Monate nach der großen DSGVO-Panik noch um. Ob nach dem deutschen Gesetz gegen unlauteren Wettbewerb auch Datenschutzverstöße wettbewerbsrechtlich abmahnfähig sind, ist derzeit umstritten. Es steht jedoch die Möglichkeit im Raum, dass Wettbewerber andere Unternehmen kostenpflichtig dazu verpflichteten können, etwa fehlerhafte Datenschutzerklärungen auf Webseiten zu korrigieren. CDU-Politiker Marc Henrichmann verwies auf die „riesengroße Verunsicherung“, die dies bei Unternehmen in seinem Wahlkreis nach wie vor auslöse. Der grüne Konstantin von Notz konnte sich an dieser Stelle nicht verkneifen, darauf hinzuweisen, dass das Thema Abmahnmissbrauch die Regierungsparteien nicht interessiert habe, solange „nur“ Jugendliche und Familien betroffen gewesen sind, die für den vermeintlichen Download eines 69-Cent teuren Songs tausende Euro zahlen sollten.
Die Sachverständigen waren sich nicht einig, wie mit der Unsicherheit in Bezug auf Abmahnungen umzugehen ist. Auch Annette Karstedt-Meierrieks vom Deutschen Industrie- und Handelskammertag (DIHK) sagte, dass es keine Welle der Abmahnungen gebe. Es sei jedoch durchaus zu beobachten, dass vereinzelte Juristen und Berater versuchen würden, daraus ein neues Geschäftsmodell zu machen. Sie sprach sich dafür aus, der bayerischen Bundesratsinitiative [PDF] zu folgen, derzufolge Datenschutzverstöße grundsätzlich nicht abmahnfähig sein sollen. Dem widersprach unter anderem Malte Engeler, Richter am Schleswig-Holsteinischen Verwaltungsgericht. Das Problem sei nicht, dass Datenschutzverstöße abmahnbar seien, sondern die Datenschutzverstöße selbst – und dass es in Deutschland wirtschaftliche Anreize gebe, Abmahnungen auch wegen Bagatelldelikten zu verhängen. Eine Lösung des Problems müsse bei den ökonomischen Anreizen anknüpfen.
In der Debatte um Abmahnungen werden immer wieder auch die mit der DSGVO europaweit geschaffenen Möglichkeiten kritisiert, dass Verbraucherverbände und NGOs Betroffenenrechte stellvertretend einklagen. Sowohl Jutta Gurkmann vom Bundesverband der Verbraucherzentralen als auch Wirtschaftsrechtler Helmut Köhler betonten, wie wichtig dieses Mittel zur kollektiven Durchsetzung des Datenschutzes sei.
Verhältnis von Datenschutz und Meinungsfreiheit klären
Insbesondere Malte Engeler, der gelegentlich als Gastautor Texte auf netzpolitik.org veröffentlicht, warnte in seiner Stellungnahme davor, dass Datenschutz zur Waffe gegen kritischen Journalismus und andere Formen der Ausübung der Meinungsfreiheit werden könne, wenn das Verhältnis von Meinungsfreiheit und Datenschutz nicht explizit geklärt werde. Die Bundesregierung habe versäumt, dies im ersten Anpassungsgesetz durch die Nutzung einer entsprechenden Öffnungsklausel der DSGVO zu tun.
Das zuständige Innenministerium hatte stattdessen auf schon bestehende Gesetze und die Rechtsprechung in Deutschland verwiesen. Dies hatte unter anderem dazu geführt, dass sich viele Fotografen in Deutschland fragten, ob sie überhaupt noch im öffentlichen Raum fotografieren dürften und somit erheblich zur Verunsicherung rund um die DSGVO beigetragen. Engeler kritisierte, dass gerade Blogger häufig nicht durch presserechtliche Ausnahmen geschützt seien. Aber auch an Branchen, die auf die Verarbeitung personenbezogener Daten im Zuge ihrer Tätigkeit angewiesen sind – etwa Kunstschaffende, Wissenschaft und die PR-Branche – seien davon bedroht, dass jemand versucht, den Datenschutz zweckzuentfremden, um sie an der Ausübung ihrer Meinungsfreiheit zu hindern.
Keine nationalen Alleingänge
Annette Karstedt-Meierrieks vom Deutschen Industrie- und Handelskammertag forderte Erleichterungen für kleine und mittelständische Unternehmen. Sie könnten beispielsweise bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten entlastet werden, schlug sie vor. Beispielsweise könnte die Beschäftigtenzahl, ab der dies notwendig ist, heraufgesetzt werden. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Stefan Brink, sprach sich hingegen dafür aus, dass Konzept der betrieblichen Datenschutzbeauftragten nicht zu verwässern.
Wenn über Entlastungen für Kleine und Mittelständische Unternehmen nachgedacht werde, sollte dies nicht auf der nationalen Ebene, sondern EU-weit geschehen. Eine planmäßige Evaluation der DSGVO soll 2020 stattfinden. EU-Justizkommissarin Vera Jourovoa kündigte aber an, bereits nach einem Jahr mit Wirtschaft und Zivilgesellschaft Bilanz ziehen zu wollen. Mit seiner Aufsichtsbehörde versuche er, für Vereine und kleinere Unternehmen für Entlastung zu sorgen, indem sie besonders intensiv beraten werden. Die Verhängung von Bußgeldern unterliege ohnehin dem Grundsatz der Verhältnismäßigkeit. Von nationalen Alleingängen wie bei der Anpassung des Bundesdatenschutzesgesetzes riet Brink ab. Der Bundesregierung empfahl er, ein Vertragsverletzungsverfahren gegen Staaten einzuleiten, die wie etwa Österreich klar gegen die EU-Regeln verstößen.
Neue Vorratsdatenspeicherung im Gepäck
Stefan Brink hatte das Gesetz in einem Gastbeitrag auf netzpolitik.org im November bereits kritisch analysiert. Gemeinsam mit mehreren anderen Sachverständigen erneuerte er gestern seine Kritik an einer mit diesem Gesetz geschaffenen Vorratsdatenspeicherung im Bereich Digitalfunk. Auch die scheidende Bundesbeauftragte für den Datenschutz, Andrea Voßhoff, kritisierte diese neue VDS. Sie konnte ihre Einwände allerdings nur schriftlich [PDF] erheben, da sie vom Ausschuss nicht zur Anhörung eingeladen worden war.
Der baden-württembergische Datenschutzbeauftragte thematisierte auch, dass es für Aufsichtsbehörden seit dem Videoüberwachungsverbesserungsgesetz kaum noch möglich sei, privaten Anbietern den Betrieb von Videoüberwachung zu untersagen. Seit der Gesetzesänderung im vergangenen Jahr müssten Gewerbetreibende, die im großen Stil auf Videoüberwachung setzen, nur noch anführen, dass dies der öffentlichen Sicherheit oder dem Schutz von Leib und Leben diene. Die Aufsicht habe dagegen wenig Handhabe.
Annette Karstedt-Meierrieks vom Deutschen Industrie- und Handelskammertag erklärte zudem, dass bei Unternehmen derzeit große Verunsicherung beim Thema Online-Tracking herrsche. Dadurch, dass die ePrivacy-Verordnung, die eigentlich ebenfalls am 25. Mai in Kraft treten sollte, in der EU immer noch nicht verabschiedet wurde, sei hier eine gewisse Regelungslücke entstanden. Auch Professor Hartmut Aden von der Hochschule für Wirtschaft und Recht Berlin betonte, dass es beim Thema ePrivacy-Verordnung dringend Fortschritte brauche. Die heutige Situation, dass Nutzer:innen keine andere Wahl haben, als dem Online-Tracking ihres Verhaltens zuzustimmen, widerspreche einer selbstbestimmten Internetnutzung.
Ich habe die Stellungnahme des Bundesrates nicht verstanden, – was versucht das Papier 19/5414 zu erreichen ?
Ich habe sie leider nocht nicht gelesen und kann da deshalb nichts zu sagen.
„Nach dem deutschen Gesetz gegen unlauteren Wettbewerb sind auch Datenschutzverstöße wettbewerbsrechtlich abmahnfähig. Wettbewerber können deshalb andere Unternehmen kostenpflichtig beispielsweise dazu verpflichteten, etwa fehlerhafte Datenschutzerklärungen auf Webseiten zu korrigieren.“ – Das ist so nicht ganz korrekt. Es gibt hierzu mittlerweile vier Gerichtsentscheidungen: 2x gegen Abmahnung (LG Bochum und LG Wiesbaden), 1 x für Abmahnungen (LG Würzburg) und 1 x „es kommt darauf an“ (OLG Hamburg). Die vorherrschende Meinung in der Rechtswissenschaft lehnt Abmahnungen ab. Dies ist aus meiner Sicht der einzige Grund, warum die Abmahnwelle bislang ausgeblieben ist. Kann sich aber ganz schnell ändern.
Stimmt, in Anbetracht der ungeklärten Rechslage ist meine Formulierung ein bisschen steil. Habe die Stelle angepasst.
Was hat die DSGVO mit Meinungsfreiheit zu tun? Es geht bei ihr doch nur um Listen von pers.bez. Daten. Tweets, Fotos, Klingelschilder haben nichts damit zu tun und sind nie betroffen. Oder habe ich da nen Denkfehler?
Ich bin kein Jurist und gehöre auch nicht zur Fraktion derjenigen, die den Datenschutz grundsätzlich als Waffe gegen die Meinungsfreiheit sehen. Ausführlicher aufgeschrieben hat diese Perspektive z.B. Thomas Stadler: http://www.internet-law.de/2018/03/schraenkt-die-datenschutzgrundverordnung-meinungsaeusserungen-im-internet-ein.html
Ein konkretes Beispiel, auf das auch Malte Engeler (implizit) in der Anhörung verwies, ist ein Fall aus Rumänien, wo die Datenschutzbehörde investigative Journalisten auffordert, ihre Quellen offenzulegen: https://twitter.com/SophieintVeld/status/1062011401982611458
Jedes mal wenn in identifizierender Weise über jemanden berichtet wird geraten Datenschutz und Meinungsfreiheit grundsätzlich in einen Konflikt. Insbesondere für den Bereich der Medien hat die DSGVO dies auch selbst erkannt und enthält daher eine Möglichkeit in Art. 85 für die nationalen Gesetzgeber hier Klarheit zu schaffen.
Davon wurde in Deutschland aber bisher kein Gebrauch gemacht.