Gesetzentwurf beschlossen: Datenschützer sehen "gewaltigen Änderungsbedarf" bei Reform
Das Besondere an einer EU-Verordnung(öffnet im neuen Fenster) besteht eigentlich darin, dass sie im wesentlichen unverändert in allen EU-Mitgliedsstaaten gelten soll. Doch bei der Umsetzung der EU-Datenschutzverordnung(öffnet im neuen Fenster) in deutsches Recht will die Bundesregierung von den enthaltenen 70 Öffnungsklauseln möglichst ausgiebig Gebrauch machen. Der am Mittwoch vom Kabinett beschlossene 138-seitige Entwurf(öffnet im neuen Fenster) von Bundesinnenminister Thomas de Maizière (CDU) berücksichtigt die zum Teil harsche Kritik an den Plänen. Doch Datenschützer haben weiterhin sehr viel auszusetzen und sehen "gewaltigen Änderungsbedarf" .
Nach jahrelangen Verhandlungen hatten sich EU-Kommission, Europaparlament und EU-Ministerrat im Dezember 2015 auf die Verordnung geeinigt , die im April 2016 in Kraft getreten war. Nach einer zweijährigen Übergangszeit soll sie ab Mai 2018 gültiges Recht in der EU werden. Damit ersetzt sie das bestehende Bundesdatenschutzgesetz (BDSG), das mit dem vorliegenden Entwurf an die Verordnung angepasst werden soll.
Kritik an zu starker Veränderung
Bei dieser Anpassung ist die Bundesregierung sehr kreativ vorgegangen. So warf die niedersächsische Datenschutzbeauftragte Barbara Thiel der großen Koalition vor(öffnet im neuen Fenster) , vorhandene Öffnungsklauseln überdehnt und Regelungen geschaffen zu haben, für die überhaupt keine Öffnungsklausel zur Verfügung stehe. Damit werde das geplante Ziel der Verordnung verfehlt, für ein einheitliches Datenschutzrecht in Europa zu sorgen.
Auch der IT-Branchenverband Bitkom mahnte an, dass "die Öffnungsklauseln in der EU-Verordnung nicht dazu genutzt werden sollten, die Regelungen aufzublähen und damit die angestrebte und mögliche europaweite Harmonisierung der Datenschutzgesetzgebung zu konterkarieren" . Bitkom-Geschäftsleiterin Susanne Dehmel sagte: " Eine mühsam errungene europaweite Regelung, die durch nationale Alleingänge wieder zum Flickenteppich wird, wäre ein Rückschlag in der Datenschutzgesetzgebung."
Kritisiert wurde beispielsweise, dass die sogenannte Zweckbindung der Daten unzulässig aufgeweicht würde. In einer früheren Version des Gesetzentwurfs(öffnet im neuen Fenster) durften Unternehmen beispielsweise personenbezogene Daten ihrer Kunden für andere Zwecke verwenden, wenn dies "zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist" . Dieser Freifahrtschein für ungehemmte Datennutzung findet sich im nun beschlossenen Entwurf nicht mehr wieder. Nun ist die Verarbeitung nur noch dann für andere Zwecke erlaubt, wenn dies zur Gefahrenabwehr oder "zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist" (Paragraf 23). Zudem dürfen die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung nicht überwiegen.
Typische Gummiparagrafen
Doch wer entscheidet darüber, wessen Interessen höher zu werten sind? Im Zweifel muss dies das Unternehmen tun, denn schließlich erfährt der Nutzer zum Teil gar nichts davon, dass seine Daten für andere Zwecke genutzt werden. Denn die Informationspflicht von Behörden und Unternehmen wird in den Paragrafen 32 und 33 eingeschränkt. So entfällt die Pflicht, wenn sie "einen unverhältnismäßigen Aufwand erfordern würde und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere wegen des Zusammenhangs, in dem die Daten erhoben wurden, als gering anzusehen ist" .
Ein typischer Gummiparagraf. Am Ende kann der Datenverarbeiter selbst entscheiden, wie groß das Interesse des Betroffenen an der Informierung wohl sein dürfte. In der Gesetzesbegründung heißt es: "Ein unverhältnismäßiger Aufwand kann beispielsweise vorliegen, wenn die Kontaktdaten des Betroffenen dem Verantwortlichen nicht bekannt und auch nicht ohne Weiteres zu ermitteln sind. Als Anhaltspunkte für die Beurteilung der Unverhältnismäßigkeit können die Anzahl der betroffenen Personen, das Alter der Daten oder das Bestehen geeigneter Garantien einbezogen werden." Auch hier besteht für Behörden und Unternehmen weiterhin ein großer Spielraum. Nach dem Motto: Wenn zu viele Nutzer informiert werden müssten, wäre der Aufwand unverhältnismäßig groß.
Geschenke an die Wirtschaft
Sehr dehnbar ist zudem die Formulierung von Paragraf 33, der die Informationspflichten regelt, "wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden" . Demnach müssen die Betroffenen dann nicht informiert werden, wenn damit "allgemein anerkannte Geschäftszwecke" des Unternehmens erheblich gefährdet würden. Laut Gesetzesbegründung ist diese Ausnahme "eng auszulegen; die Möglichkeit des Scheiterns einzelner Geschäfte des Verantwortlichen, etwa das Zustandekommen oder die Abwicklung eines Vertrags mit der betroffenen Person, begründen keine Ausnahme von der Informationspflicht" .
Dennoch ist fraglich, ob die EU-Verordnung eine solche Ausnahme in Artikel 14 hergibt. Der Grünen-Europaabgeordnete Jan Philipp Albrecht sieht das nicht so: "Die Bundesregierung macht der Wirtschaft Geschenke auf Kosten der Verbraucher und bricht damit europäisches Recht" , sagte er der Stuttgarter Zeitung(öffnet im neuen Fenster) . "Sollte dieser Gesetzentwurf so auch den Bundestag passieren, wird er in null Komma nix vor dem Europäischen Gerichtshof landen."
Automatisierte Entscheidungen erlaubt
Kritik gibt es zudem an der erlaubten Ausweitung der Videoüberwachung öffentlich zugänglicher Räume. Sie ist laut Paragraf 4 künftig "zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke" erlaubt. In einer früheren Version des Entwurfs war die Verarbeitung der Daten nur dann zulässig, wenn dies "zum Schutz von Leben, Gesundheit oder Freiheit von Personen erforderlich ist" . Nun ist die Speicherung und Auswertung erlaubt, "wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen" . Für die Datenschutzbeauftragte Thiel geht das zu weit, denn "es ist nicht Aufgabe privater Stellen, die Sicherheit der Bevölkerung zu gewährleisten" .
Freuen über den Entwurf können sich zudem die privaten Krankenversicherungen. Ihnen wird das Recht zugestanden, ausschließlich auf einer automatisierten Datenverarbeitung beruhende Entscheidungen zu treffen. Auch in diesem Fall hat die Bundesregierung die Öffnungsklausel der EU-Verordnung genutzt, um das eigentliche Verbot solcher automatisierten Entscheidungen aufzuweichen. Bislang seien solche Bescheide immer erst über den Tisch eines Sachbearbeiters gegangen, sagte der Versicherungsreferent Lars Gatschke vom Verbraucherzentrale Bundesverband (VZBV) der Süddeutschen Zeitung(öffnet im neuen Fenster) .
Kritik zur Verarbeitung "besonderer Kategorien"
Wenn eine Versicherung diese Routine umdrehe, "setzt sie auf die Trägheit der Verbraucher" , sagte Gatschke. Viele Leute scheuten schließlich einen langwierigen Briefwechsel und bezahlten am Ende einfach den offenen Betrag. Ob der Computer tatsächlich knausriger als ein Sachbearbeiter ist, muss sich aber erst noch herausstellen.
Unverständlich erscheint jedoch die Kritik, wonach das neue Bundesdatenschutzgesetz die "Verarbeitung besonderer Kategorien personenbezogener Daten" wie rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen durch Unternehmen unzulässig erleichtert. Hier liefert die EU-Verordnung (Artikel 9) bereits selbst elf mögliche Ausnahmen, die von der Regierung zum Teil übernommen wurden. Thiel forderte stattdessen "begrenzende und abwägende Regelungen, keine neuen Ausnahmetatbestände beziehungsweise unspezifische und maßlose Erlaubnisse" .
Datenschützer fordern grundsätzliche Änderungen
Sehr unzufrieden sind Datenschützer zudem mit den Regelungen, die die Rechte der Datenschutzbeauftragten selbst betreffen. So verstoße die Regelung zur Bestellung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hinsichtlich der geforderten Transparenz und den personellen Anforderungen gegen die europarechtlichen Vorgaben, kritisierte die Deutsche Vereinigung für Datenschutz (DVD) in einer Stellungnahme. "Die eingeschränkten Kontroll- und Sanktionsmöglichkeiten der BfDI im öffentlichen und insbesondere im Sicherheitsbereich untergraben insofern die Effektivität der Datenschutzaufsicht" , hieß es weiter. Die DVD sieht daher "gewaltigen Änderungsbedarf" an dem Entwurf.
Der frühere Bundesdatenschutzbeauftragte Peter Schaar fordert ebenfalls grundsätzliche Änderungen. Denn in vielen Fällen werde das Datenschutzniveau der EU-Verordnung gesenkt. "Auf der anderen Seite werden insbesondere den Behörden zusätzliche Befugnisse eingeräumt" , kritisierte Schaar(öffnet im neuen Fenster) .
Nach der Verabschiedung durch das Kabinett wird der Entwurf nun in den Bundestag eingebracht. Der Grünen-Politiker Konstantin von Notz zeigte sich "entsetzt und enttäuscht, wie hier teils offenkundig europarechtswidrig wirksame Schutzbestimmungen" unterlaufen würden. Statt die Rechte der Betroffenen zu stärken, würden sie mit der deutschen Datenschutzreform aufgeweicht, sagte er der Süddeutschen Zeitung.
Nachtrag vom 1. Februar 2017, 15:00 Uhr
Die SPD-Fraktion im Bundestag will trotz der Nachbesserungen den Entwurf nicht ohne weiteres durchwinken. "Wir werden den Gesetzesentwurf im parlamentarischen Beratungsverfahren genau prüfen mit dem Ziel, ein hohes Datenschutzniveau zu erhalten" , sagte der zuständige Bundestagsabgeordnete Gerold Reichenbach auf Anfrage von Golem.de. Das betreffe insbesondere die Vereinbarkeit der Ausnahmeregelungen mit der EU-Verordnung. "Auch der Wirtschaft wird man mit Regelungen keinen Gefallen tun, die Gefahr laufen, vom Europäischen Gerichtshof wieder einkassiert zu werden" , sagte Reichenbach.
Zufrieden zeigte sich hingegen der IT-Branchenverband Eco. Das neue Datenschutzgesetz setze die EU-Verordnung in allen Punkten um, gehe aber nicht darüber hinaus. "Damit ist eine unserer wesentlichen Forderungen erfüllt und faire Wettbewerbsbedingungen für deutsche Internetunternehmen gewährleistet" , sagte Eco-Vorstand Oliver Süme.