Änderung des BundesdatenschutzgesetzesAusnahme für Geschäftsgeheimnisse als „Geschenk für Unternehmen“

Das deutsche Datenschutzgesetz soll geändert werden. Ein Teil davon ist gut für Verbraucher:innen, ein anderer öffnet Unternehmen neue Möglichkeiten, zu mauern. Datenschützer fordern, den Passus unbedingt zu streichen.

Eine Frau hält ein Geschenk in die Kamera.
Die explizite Ausnahmeregelung für Geschäftsgeheimnisse sehen manche als „Geschenk für Unternehmen“ (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com Kira auf der Heide

Die Änderung des Bundesdatenschutzgesetzes, die gerade vom Kabinett beschlossen wurde, könnte die Rechte von Verbraucher:innen in Sachen Kreditwürdigkeit und Scoring verbessern.

Laut dem Entwurf sollen etwa künftig bestimmte Daten nicht mehr genutzt werden dürfen, um die Zahlungsfähigkeit und -willigkeit eines Menschen einzuschätzen. Zu diesen Daten gehören unter anderem die Wohnadresse, der Name oder personenbezogene Daten aus der Nutzung sozialer Netzwerke. Es soll auch einfacher werden, Auskunft über das Zustandekommen des eigenen Scores zu erhalten. Das verbessert die Rechte gegenüber Scoring-Diensten und Auskunfteien wie etwa der Schufa.

Doch das Gesetz enthält auch einen Passus, dass Datenschutz-Auskunftsrechte wegen Geschäftsgeheimnissen verweigert werden können. Zwar bestand diese Möglichkeit auch bisher schon, die explizite Nennung könnte aber Unternehmen motivieren, hiervon mehr Gebrauch zu machen. Nach Informationen von netzpolitik.org soll sich das Bundesinnenministerium (BMI) für die explizite Nennung der Ausnahmeregelung stark gemacht haben.

Aushöhlung des Auskunftsrechts

„Hier werden Internetkonzerne und andere Unternehmen geradezu dazu eingeladen, Datenauskünfte pauschal zu verweigern und Betroffenen ihr Transparenzrecht zu verwehren“, sagt beispielsweise der Europaabgeordnete Patrick Breyer. Und auch der Rechtsanwalt Sebastian Sudrow, der unter anderem Frag den Staat vertritt, sieht in dem Passus ein „Geschenk für Unternehmen“. Gegenüber netzpolitik.org sagt Sudrow: „Man kann sicher sein, dass auch die kommerziellen Sozialen Netzwerke und Plattformen diese Ausnahme für sich zu nutzen wissen. Die Betroffenen können mit dieser Ausnahme leicht abgespeist und das bislang recht starke Auskunftsrecht ausgehöhlt werden.“

Der Verbraucherzentrale Bundesverband (vzbv) sieht die Ausnahme ebenfalls kritisch. Die vorgeschlagene Regelung sei unnötig, sagt Florian Glatzner vom vzbv. Die bisherigen Gesetze würden die Abwägung zwischen dem Auskunftsrecht und dem Schutz von Geschäftsgeheimnissen bereits angemessen berücksichtigen. „Eine solche Einschränkung im nationalen Recht würde vielmehr in der Praxis ein Tor öffnen, dass Unternehmen zunehmend berechtigte Auskunftsinteressen mit Verweis auf diese Regelung abwehren und so den Betroffenen die Wahrnehmung des wichtigen Rechts auf Auskunft zu erschweren“, so Glatzner gegenüber netzpolitik.org weiter.

Daher lehne der vzbv die vorgeschlagene Einschränkung ab. Sie sollte nach Meinung der Verbraucherschützer im weiteren Verlauf des Gesetzgebungsprozess gestrichen werden. Der vzbv hatte dies bereits in seiner Stellungnahme zum Gesetz gefordert.

Ebenso sieht das der Bundesdatenschutzbeauftragte, der unterstützt durch die Datenschutzaufsichtsbehörden der Länder eine Streichung dieser Ausnahmeregelung fordert. Der Schutz von Betriebs- und Geschäftsgeheimnissen werde bereits vollständig in der Datenschutz-Grundverordnung geregelt und konkretisiert, so eine Sprecherin der Datenschutzbehörde gegenüber netzpolitik.org.

Reform bleibt auf halber Strecke stecken

Auf der Strecke bleibt auch das ursprüngliche Hauptziel der Reform: eine bessere Zusammenarbeit der Datenschutzbehörden in der Datenschutzkonferenz (DSK). Durch eine Institutionalisierung des bisher informellen Gremiums wollte die Ampel dafür sorgen, dass die deutschen Datenschutzbehörden schneller und einheitlicher zu Beschlüssen kommen. Dass sie dieses Versprechen aus dem Koalitionsvertrag nicht einlösen würde, deutete sich schon im September an, als das Bundesinnenministerium (BMI) einen ersten Entwurf veröffentlichte. Die einhellige Kritik daran hat sich die Bundesregierung offenbar nicht zu Herzen genommen.

Auch im aktuellen Entwurf wird die DSK nur in zwei schmalen Sätzen abgehandelt. Dort heißt es lediglich, dass es die Datenschutzkonferenz gibt und dass sie sich eine Geschäftsordnung gibt. Rechtsverbindliche Beschlüsse wird die DSK somit auch künftig nicht treffen können. Eine Minimallösung wäre es gewesen, dem Gremium zumindest eine Geschäftsstelle, Personal und ein Budget zu geben. Doch auch dagegen entschied sich die Bundesregierung.

„Der Entwurf vermittelt den Eindruck, dass das BMI die Schwäche der Datenschutzkonferenz gesetzlich festschreiben will, anstatt diese zu stärken“, kritisierte der Vorsitzende des Vereins Digitale Gesellschaft, Benjamin Wolf, im September. Diese Kritik kann heute unverändert stehen bleiben. Anstatt für einheitlichere und schnellere Aufsichtsentscheidungen zu sorgen, will die Ampel den Status Quo zementieren.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und aktuelle Vorsitzende der DSK, ist vom Entwurf enttäuscht: Die DSK brauche ein organisatorisches Fundament, also eine Geschäftsstelle. Der jetzige Entwurf habe kaum mehr Inhalt als eine Geschäftsordnung für die DSK: „Eine Geschäftsordnung haben wir seit mehreren Jahren, das ist nichts Neues. Nun kann ich nur hoffen, dass im Verlauf des Gesetzgebungsprozesses diese weitergehenden Ideen doch noch auf fruchtbaren Boden fallen“, so Hansen gegenüber netzpolitik.org.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. https://www.cmshs-bloggt.de/tmc/datenschutzrecht/geschaeftsgeheimnisse-als-grenze-des-auskunftsanspruchs/

    >> „Hier werden Internetkonzerne und andere Unternehmen geradezu dazu eingeladen, Datenauskünfte pauschal zu verweigern und Betroffenen ihr Transparenzrecht zu verwehren“,

    Ein Geschäftsgeheimnis ist nach der Definition in § 2 Nr. 1–3 Geschäftsgeheimnisgesetz nur eine Information, die folgende drei Kriterien erfüllt:

    „Weder allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert“: Erfasst ist daher nur Know-how mit Unternehmensbezug, das entweder unmittelbar einen konkreten Marktwert hat (z.B. Rezepturen) oder mittelbar die Position im Wettbewerb stärkt (z.B. Forschungsergebnisse).
    „Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber“: Ob Geheimhaltungsmaßnahmen angemessen sind, ist häufig der Knackpunkt. Als Minimum muss i.d.R. eine wirksame Geheimhaltungsvereinbarung vorliegen, müssen die betreffenden Informationen als geheim gekennzeichnet sein und muss auch gegenüber den eigenen Beschäftigten eine Need-to-know-Struktur etabliert sein.
    „Berechtigtes Interesse an der Geheimhaltung“: Dieses Kriterium soll nur Sonderfälle ausschließen, in denen Unternehmen den Geschäftsgeheimnisschutz missbrauchen (z.B. sind Informationen über Straftaten i.d.R. keine Geschäftsgeheimnisse).

    Wer sich zur Abwehr eines Auskunftsbegehrens auf Geschäftsgeheimnisse beruft, muss konkret darlegen können, dass die verlangten Informationen tatsächlich Geschäftsgeheimnisse i.S.d. Geschäftsgeheimnisgesetzes sind. Dann wird die Abwägung i.d.R. zugunsten des Unternehmens ausfallen. Offen ist, inwieweit Informationen, die Geschäftsgeheimnisse darstellen können, ggf. zu umschreiben sind – hier sollte die Entscheidung des EuGH im oben angesprochenen Vorabentscheidungsverfahren hoffentlich Klarheit bringen.

    1. Kollidiert das Geschäftsgeheimnis mit der DSGVO bzgl. der Herausgabe der über mich gespeicherten Daten?

      Das wäre noch witzig, plötzlich sind die intimsten Kenntnisse über den Nutzer Geschäftsgeheimnisse. Immerhin sind Daten deren Geschäftsmodell…

      1. Nun ja, es kann tatsächlich zu einer Kollision kommen, wenn es sich um personenbezogene Daten handelt, die ihrerseits erst auf Grundlage eines vom Unternehmen entwickelten/eingekauften Algorithmus errechnet wurden und die Gewährleistung der Verständlichkeit der beauskunfteten Daten gem. Art. 12 Abs. 1 DSGVO es notwendig machen würde, diese Berechnungsformel zum Teil offenzulegen oder zumindest ziemlich konkret zu beschreiben. Denn wenn in der Auskunft nur „Score: 3“ steht, ist das ja weder präzise noch transparent und verständlich. Aber zumindest für die Rohdaten wird es tatsächlich selten zu einer Kollision von Geschäftsgeheimnis und Auskunft kommen. Verstehe ohnehin die Aufregung nicht: Über § 29 Abs. 1 S. 2 BDSG hat man mit dem Geheimhaltungsbedürfnis aufgrund der Art der Information schon heute ein mindestens genau so scharfes Schwert, das aber nicht auf so eine enge Definition wie das Geschäftsgeheimnis geschränkt ist.

        1. Wobei besonders wertvolle [aggregierte/anonymisiserte/pseudonymisiserte] Daten typischerweise eben doch den kompletten Rundumschlag ermöglichen dürften. Das Rennen ist quasi … hinderlich für den Durchmarsch.

  2. > Doch auch dagegen entschied sich die Bundesregierung.

    Die Bundesregierung ist kein homogener Monolith, sondern besteht aus Ministerien, die nicht selten konkurrierende Interessen verfolgen, nicht selten geprägt von kleinparteilichem „Liefer“bestreben.

    Geht es etwas präziser? Wer sind die relevanten Akteure/Parteien?

    1. Das steht doch im Text: Der Gesetzentwurf kommt das aus dem Innenministerium, beschlossen hat ihn das gesamte Kabinett = die Bundesregierung.

  3. Ach, hört doch auf. Realität ist: jede „Datenschutzerklärung“ ist eine Datenmissbrauchserlaubnis. Staat und Unternehmen spionieren uns aus und machen alles mit unseren Daten, was sie wollen. Auskunft bekommen wir nicht, weil beide genau wissen, dass wir nur auf dem Klageweg Auskunft erstreiten könnten, das aber wurde in Deutschland so teuer gemacht und an so viele Voraussetzungen geknüoft, dass es sich niemand leisten kann. Also einfach Auskunft verweigern und Daten nach Belieben missbrauchen ist normal und wir können nichts dagegen machen. Egal, welche neue Formulierung es gibt.

    Zum Beispiel müssen Versicherungen Daten nach spätestens 10 Jahren löschen. Machen sie einfach nicht. Sie behalten Daten ewig. Dagegen machen kann man nichts. Theoretisch müssten Sie für jeden diesr Millionen Verstöße 8 % des Jahresumsatzes Strafe zahlen, DSGVO. Sie wären sofort pleite, wenn die Strafvorschriften der DSGVO durchgesetzt würden. Interessiert sie einen Scheiß.

    Datenschutzbeauftragte in Unternehmen und Ländern helfen nicht. Sollen sie auch nicht. Sie sind ein anderes Mittel der Kontrolle durch den Staat. Ein anderes Mittel, um zu verhindern, dass wir uns gegen Staat und Unternehmen schützen. Genauso wie angebliche „Datenschutzgesetze“. Im Zweifel wird einfach „berechtigtes Interesse“ in den Raum geworfen und jede weitere Kommunikation beendet. Auch bei Cookies wird gar nicht mehr zumm Schein nutzlos zwagsgefragt, sondern einfach berechtigtes Interesse behauptet. Alles Betrug!! Was wäre es frei, schön, friedlich privatsphäregeschützt ohne Staat!

      1. > Ohne Staat wäre Facebook der Staat.

        Vielleicht etwas überpointiert, aber solche Gedanken hegen libertäre Silicon-Valley-Milliardäre seit längerem. Libertarismus will den Staat schrumpfen und letztlich beseitigen, doch wer oder was träte dann an seine Stelle? Libertärer Autoritarismus, mit oder ohne Bürgerkrieg, aber sicherlich gesteuert durch (un)social media? Als Atheist kommt einem „Gott bewahre!“ in den Sinn.

    1. Vollkommen richtig.

      „We value your privacy“ und auf Deutsch „Ihre Privatsphäre ist uns sehr wichtig“ ist eine hohle Phrase. Natürlich ist denen unsere Privatsphäre sehr wichtig. Im Sinne des Geldmachens.

      Man kann übrigens schon etwas machen, doch ein Datenschützer kann so etwas nicht: Radikal sein. Also mindestens in etwa wie die Letzte Generation.
      Max Schrems, Fefe oder Richard M. Stallman sind noch moderat. Lediglich Hacker-Gruppen mit Ransomware, die Unternehmen erpressen, weil diese es gewagt haben, Daten weiterzuverkaufen, könnte man als radikale Datenschützer in Betracht ziehen. Aber man sieht ja, dass der Staat lieber in die Presche springen will. Ich meinte, bei der Bahn und in manchen Landratsämtern wurde der Preis immer freiwillig bezahlt, da der Staat die Kosten decke.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.