Mit Spannung war der Gesetzentwurf erwartet worden, mit dem die Bundesregierung das Bundesdatenschutzgesetz reformieren will. Gestern endlich hat das Bundesinnenministerium (BMI) den entsprechenden Entwurf veröffentlicht. In den Wochen zuvor konnten Verbände und Lobbygruppen ihre Stellungnahmen zu den Plänen abgeben, sie werden in den kommenden Tagen vom BMI veröffentlicht. Wir haben uns schon mal umgehört und erste Stellungnahmen zu dem Gesetzentwurf eingeholt. Die Resonanz ist überwiegend negativ, unter anderem weil die Regierung ihr erklärtes Ziel verpasst, für eine bessere und einheitlichere Durchsetzung des Datenschutz zu sorgen.
Ebendies war erst vor wenigen Monaten bemängelt worden, als die europäische Datenschutzgrundverordnung (DSGVO) ihr fünfjähriges Jubiläum feierte. Damals lautete der weitgehend einhellige Tenor: Das ist ein gutes Gesetz, aber es krankt an der Durchsetzung. Die Zivilgesellschaft kritisiert eine zu lasche Anwendung der DSGVO, die Wirtschaft bemängelt hingegen ihre uneinheitliche Auslegung und überhaupt geht es fast allen beim Thema Datenschutz zu langsam.
Das sieht auch die Ampel-Koalition so. Im Koalitionsvertrag [PDF] kündigten SPD, Grüne und FDP an, die „Durchsetzung und Kohärenz des Datenschutzes“ verstärken zu wollen. Die EU-Kommission verfolgt das gleiche Ziel. Sie will mit einer Verordnung die Zusammenarbeit der europäischen Aufsichtsbehörden verbessern. In Deutschland wurde vorübergehend erwogen, zu diesem Zweck die hiesige föderale Datenschutzstruktur mit 18 unterschiedlichen Aufsichtsbehörden zumindest teilweise zu zentralisieren. Die Ampel entschied sich anders.
Forderung nach einer Grundgesetzänderung
Statt einer Zentralisierung will die Bundesregierung die föderale Zusammenarbeit im Datenschutz verbessern. Konkret versprach sie, die Datenschutzkonferenz (DSK) zu institutionalisieren „und ihr rechtlich, wo möglich, verbindliche Beschlüsse [zu] ermöglichen.“ Die DSK ist das Gremium, in dem sich die 18 Aufsichtsbehörden abstimmen, ihre Arbeit koordinieren und gemeinsame Positionen beschließen. Dazu unterhält die Konferenz diverse thematische Arbeitsgruppen, zwei Mal im Jahr kommen alle Behörden zusammen, der Vorsitz wechselt jährlich. Das alles passiert bislang jedoch ausschließlich auf Basis informeller Verabredungen, gesetzlich geregelt sind die Prozesse der DSK nicht. Auch verfügt der Zusammenschluss bisher nicht über eine eigene Geschäftsstelle oder ein Budget.
Der vorliegende Entwurf streift das Thema Datenschutzkonferenz in gerade einmal zwei Sätzen: „Die oder der Bundesbeauftragte […] sowie die Aufsichtsbehörden der Länder […] bilden die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz). Die Datenschutzkonferenz gibt sich eine Geschäftsordnung.“ Weitere Details – etwa zur Arbeitsweise der DSK, einem eigenen Budget oder zu verbindlichen Beschlüssen – sieht das Innenministerium nicht vor.
Das begründet das Haus von SPD-Ministerin Nancy Faeser mit „verfassungsrechtlichen Grenzen“ und dem sogenannten Verbot der Mischverwaltung. Vereinfacht ausgedrückt besagt dieses Verbot, dass Bund und Länder nicht für die gleiche Verwaltungsaufgabe zuständig sein dürfen. Ausnahmen davon muss das Grundgesetz explizit aufführen, wie etwa im Fall der gemeinsamen Verwaltung der Grundsicherung für Arbeitsuchende. Eine solche Grundgesetzänderung ist dem Innenministerium offenbar zu heikel.
„Keine Rechtsform, keine Struktur, keine Mittel – das ist zu wenig“, konstatiert Frederick Richter, Vorstand der staatlich geförderten Stiftung Datenschutz. Anstatt konkrete Regeln zu benennen, erwähne der Gesetzentwurf die DSK lediglich. Um Rechtsunsicherheiten zu vermeiden, müsse diese jedoch wirksam institutionalisiert werden. Dass Grundgesetzänderungen, wenn sie dringend gebraucht werden, möglich seien, habe sich zum Beispiel im Bildungsbereich gezeigt, wo das Kooperationsverbot zwischen Bund und Ländern erst jüngst gelockert wurde, so Richter. Er hält eine Einigung mit den Bundesländern für denkbar, schließlich sei eine Harmonisierung der Datenschutzaufsicht auch in ihrem Interesse. Kommt eine Verfassungsänderung nicht zustande, sollte die DSK zumindest mit einem festen Budget ausgestattet werden, so Richter.
Noch deutlichere Worte findet Benjamin Wolf, Vorstand des Vereins Digitale Gesellschaft. Der Entwurf sei mutlos und bleibe sogar hinter dem Minimalkonsens im Koalitionsvertrag zurück. „Der Entwurf vermittelt den Eindruck, dass das BMI die Schwäche der Datenschutzkonferenz gesetzlich festschreiben will, anstatt diese zu stärken“, so Wolf. „Wenn uns das Grundrecht auf Datenschutz etwas wert ist, müssen wir seine föderale Durchsetzung durch die Datenschutzkonferenz stärken. Wenn es sein muss, eben mit einer Grundgesetzänderung.“
DSK wünscht sich ständige Geschäftsstelle
Deutlich zurückhaltender äußerst sich die Datenschutzkonferenz selbst. In ihrer gemeinsamen Stellungnahme betonen die Datenschutzbehörden der Länder zunächst, dass sie sich bereits seit Längerem in einem organisatorischen Entwicklungsprozess namens „DSK 2.0“ befänden. Inzwischen seien unter anderem mehr Mehrheitsbeschlüssen zu inhaltlichen Streitfragen vorgesehen. Das „erzeugt eine Selbstbindung der Mitglieder und hat sich als tragfähig erwiesen“, so die DSK.
Dass eine Grundgesetzänderung erforderlich sei, schreibt die Datenschutzkonferenz nicht. Allerdings betont sie die Notwendigkeit einer ständigen Geschäftsstelle, die im Gesetz bislang nicht vorgesehen ist. Der jährliche Wechsel des Vorsitzes erschwere eine Kontinuität und bringe zudem einen großen Verwaltungsaufwand mit sich. Die DSK habe daher die Aufgaben einer solchen Geschäftsstelle bereits umschrieben, und die Datenschutzbehörden wollen Bund und Länder bitten, zu ihrer Einrichtung eine Verwaltungsvereinbarung abzuschließen.
Mit einer neuen Idee wartet der Deutsche Anwaltverein auf. Auch er übt deutliche Kritik am Gesetzentwurf des BMI. „Neue Befugnisse für die DSK sucht man im Gesetzentwurf vergeblich, verbindliche Beschlüsse bleiben ihr weiterhin verwehrt“, konstatiert der Verein in einer Pressemitteilung. Das Gesetz werde bestehende Probleme nicht lösen. Doch anstelle einer Grundgesetzänderung bringt der DAV einen Staatsvertrag zwischen Bund und Ländern ins Spiel, in dem die Datenschutzkonferenz institutionalisiert werden könnte. Ein Vorbild dafür böte das Medienrecht: „Obwohl hier die Länder individuell in der Pflicht sind, arbeiten diese schon seit Jahrzehnten erfolgreich zusammen.“
Angriff auf das Auskunftsrecht
Einen anderen Aspekt des Gesetzentwurfes rücken die Deutsche Vereinigung für Datenschutz (DVD) und der Verein Digitale Gesellschaft in den Fokus: eine neue Einschränkung des Auskunftsrechts von Betroffenen gegenüber datenverarbeitenden Stellen. „Bislang relativ unbemerkt will das BMI in dem Entwurf auch das Auskunftsrecht zuungunsten der Betroffenen beschneiden, in dem es die Abwägung des Auskunftsrechts mit Betriebs- und Geschäftsgeheimnissen gesetzlich festschreibt“, sagt Benjamin Wolf von der Digitalen Gesellschaft.
Das Auskunftsrecht der DSGVO ermöglicht es Einzelpersonen, jederzeit zu erfahren, ob und welche Daten über sie verarbeitet werden. Im Gesetzentwurf des BMI heißt es nun, das der Auskunftsanspruch mit Betriebs- und Geschäftsgeheimnissen abgewogen werden soll. Datenverarbeiter könnten die Auskunft dann verweigern, wenn sie behaupten, dass durch die Information ein Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde „und wenn das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt“, so der Gesetzentwurf.
Aus Sicht des Vorsitzenden der DVD, Frank Spaeing, lädt die Formulierung des Entwurfs „Verantwortliche geradezu dazu ein, Betroffenen ihren legitimen Auskunftsanspruch zu verweigern.“ Er befürchtet, dass nach dieser Änderung des BDSG berechtigte, aber missliebige Auskunftsersuchen abgewiesen werden. „Sie eröffnet ein großes Tor für Digitalunternehmen den von ihnen verdateten Menschen ihre Datenschutzrechte zu verwehren.“
Die DSGVO sehe weder eine solche Abwägung noch eine Öffnungsklausel für nationale Gesetzgeber vor, sagt Wolf. „Politisch ist der Vorschlag eine Schwächung der Betroffenen und der Zivilgesellschaft im Interesse der Wirtschaft. Das Auskunftsrecht ist eine der Erfolgsgeschichten der DSGVO.“ Benjamin Wolf erinnert daran, dass das Bundesinnenministerium bereits im Jahr 2017 versucht hatte, die Betroffenenrechte einzuschränken: „Schon bei der ersten großen Novelle des BDSG zur Einführung der DSGVO hatte das BMI versucht, die Betroffenenrechte zu schleifen, und hatte damit teilweise auch Erfolg“, konstatiert Wolf.
Auch die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz kritisiert diese Einschränkung gegenüber netzpolitik.org. „Seit dem Volkszählungsurteil des Bundesverfassungsgerichts von 1983 ist klar, dass Bürger:innen das Recht haben, zu erfahren, wer was wann und bei welcher Gelegenheit über sie weiß.“ Die geplante Einschränkung des Auskunftsanspruchs sei europarechtswidrig, so Niekrenz, und würde „Rechtsunsicherheit auf Kosten aller Beteiligter, einschließlich der ohnehin belasteten Justiz, schaffen.”
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.